Функция EvtQuery (winevt.h)
Выполняет запрос для получения событий из канала или файла журнала, соответствующих заданным критериям запроса.
Синтаксис
EVT_HANDLE EvtQuery(
[in] EVT_HANDLE Session,
[in] LPCWSTR Path,
[in] LPCWSTR Query,
[in] DWORD Flags
);
Параметры
[in] Session
Удаленный дескриптор сеанса, который возвращает функция EvtOpenSession . Задайте значение NULL , чтобы запрашивать события на локальном компьютере.
[in] Path
Имя канала или полный путь к файлу журнала, который содержит события, к которым требуется выполнить запрос. Можно указать файл журнала EVT, EVTX или ETL. Путь является обязательным, если параметр Query содержит запрос XPath; Путь игнорируется, если параметр Query содержит структурированный XML-запрос, а в запросе указан путь.
[in] Query
Запрос, указывающий типы событий, которые требуется извлечь. Можно указать запрос XPath 1.0 или структурированный XML-запрос. Если XPath содержит более 20 выражений, используйте структурированный XML-запрос. Чтобы получить все события, задайте для этого параметра значение NULL или "*".
[in] Flags
Один или несколько флагов, указывающих порядок получения событий, а также указывает, выполняется ли запрос к каналу или файлу журнала. Возможные значения см. в перечислении EVT_QUERY_FLAGS .
Возвращаемое значение
Дескриптор результатов запроса в случае успешного выполнения; в противном случае — NULL. Если функция возвращает значение NULL, вызовите функцию GetLastError , чтобы получить код ошибки.
Комментарии
Чтобы получить события из результатов запроса, вызовите функцию EvtNext . Чтобы получить события, начинающиеся с определенного события в результатах, вызовите функцию EvtSeek .
По завершении необходимо вызвать функцию EvtClose с дескриптором результатов запроса.
Необходимо использовать только дескриптор запроса, возвращающийся этой функцией в том же потоке, который создал дескриптор.
Примеры
Пример использования этой функции см. в разделе Запросы событий.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Windows Vista [только классические приложения] |
| Минимальная версия сервера | Windows Server 2008 [только классические приложения] |
| Целевая платформа | Windows |
| Header | winevt.h |
| Библиотека | Wevtapi.lib |
| DLL | Wevtapi.dll |
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе: https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по