Поделиться через


перечисление EVT_QUERY_FLAGS (winevt.h)

Определяет значения, определяющие, как возвращать результаты запроса, а также указывает, выполняется ли запрос к каналу или файлу журнала.

Синтаксис

typedef enum _EVT_QUERY_FLAGS {
  EvtQueryChannelPath = 0x1,
  EvtQueryFilePath = 0x2,
  EvtQueryForwardDirection = 0x100,
  EvtQueryReverseDirection = 0x200,
  EvtQueryTolerateQueryErrors = 0x1000
} EVT_QUERY_FLAGS;

Константы

 
EvtQueryChannelPath
Значение: 0x1
Указывает, что запрос выполняется к одному или нескольким каналам. Параметр Path функции EvtQuery должен указывать имя канала или значение NULL.
EvtQueryFilePath
Значение: 0x2
Указывает, что запрос выполняется к одному или нескольким файлам журнала. Параметр Path функции EvtQuery должен указывать полный путь к файлу журнала или значение NULL.
EvtQueryForwardDirection
Значение: 0x100
Указывает, что события в результатах запроса упорядочены от старых к новым. Это значение по умолчанию.
EvtQueryReverseDirection
Значение: 0x200
Указывает, что события в результатах запроса упорядочены от самых новых к старым.
EvtQueryTolerateQueryErrors
Значение: 0x1000
Указывает, что EvtQuery должен выполнять запрос, даже если часть запроса создает ошибку (не имеет правильного формата). Служба проверяет синтаксис запроса XPath, чтобы определить, правильно ли он сформирован. Если проверка завершается сбоем, служба анализирует XPath в отдельные выражения. Он создает новый XPath, начинающийся с самого левого выражения. Служба проверяет выражение и, если оно допустимо, служба добавляет следующее выражение в XPath. Служба повторяет этот процесс, пока не найдет выражение, которое завершается сбоем. Затем в запросе XPath используются допустимые выражения, начинающиеся с крайнего левого выражения (это означает, что вы можете не получить ожидаемые события). Если ни часть XPath не является допустимой, вызов EvtQuery завершается ошибкой .

Комментарии

Флаги EvtQueryChannelPath и EvtQueryFilePath являются взаимоисключающими. Флаги EvtQueryForwardDirection и EvtQueryReverseDirection также являются взаимоисключающими.

Получать события можно только в прямом направлении из каналов отладки и аналитики, а также из файлов журнала EVT и ETL.

Требования

Требование Значение
Минимальная версия клиента Windows Vista [только классические приложения]
Минимальная версия сервера Windows Server 2008 [только классические приложения]
Верхняя часть winevt.h

См. также раздел

EvtQuery