Класс NTEventLogEventConsumer
Класс NTEventLogEventConsumer регистрирует определенное сообщение в журнале событий операционной системы при доставке в него события. Этот класс является одним из стандартных потребителей событий, которые предоставляет WMI. Дополнительные сведения см. в разделе Мониторинг и реагирование на события с помощью стандартных потребителей.
Синтаксис
[AMENDMENT]
class NTEventLogEventConsumer : __EventConsumer
{
uint8 CreatorSID[];
string MachineName;
uint32 MaximumQueueSize;
uint16 Category;
string NameOfRawDataProperty;
uint32 EventID;
uint32 EventType = 1;
string InsertionStringTemplates[] = {""};
string Name;
uint32 NumberOfInsertionStrings = 0;
string NameOfUserSidProperty;
string SourceName;
string UNCServerName;
};
Члены
Класс NTEventLogEventConsumer имеет следующие типы членов:
Элемент Property
Класс NTEventLogEventConsumer имеет следующие свойства.
-
Категория
-
-
Тип данных: uint16
-
Тип доступа: только для чтения
Категория событий. Эта информация зависит от источника и может иметь любое значение.
-
-
CreatorSID
-
-
Тип данных: массив uint8
-
Тип доступа: только для чтения
Идентификатор безопасности (SID), который однозначно идентифицирует пользователя, создающего фильтр. WMI сохраняет идентификатор безопасности пользователя, создающего экземпляр __EventConsumer , или идентификатор безопасности администратора в зависимости от операционной системы. Дополнительные сведения см. в разделах Привязка фильтра событий к логическому потребителюи Мониторинг и реагирование на события с помощью стандартных потребителей.
Это свойство наследуется от __EventConsumer.
-
-
EventID
-
-
Тип данных: uint32
-
Тип доступа: только для чтения
Сообщение о событии в библиотеке DLL сообщения. Это свойство не может иметь значение NULL.
-
-
EventType
-
-
Тип данных: uint32
-
Тип доступа: только для чтения
Тип события. Этот параметр может иметь одно из значений, перечисленных в следующем списке, которые определены в Winnt.h.
-
-
EVENTLOG_SUCCESS (0 (0x0))
-
Успешное событие
-
EVENTLOG_ERROR_TPYE (1 (0x1))
-
Событие ошибки
-
EVENTLOG_WARNING_TYPE (2 (0x2))
-
Событие предупреждения
-
EVENTLOG_INFORMATION_TYPE (4 (0x4))
-
Информационное событие
-
EVENTLOG_AUDIT_SUCCESS (8 (0x8))
-
Тип аудита успешного выполнения
-
EVENTLOG_AUDIT_FAILURE (16 (0x10))
-
Тип аудита сбоя
InsertionStringTemplates
-
Тип данных: строковый массив
-
Тип доступа: только для чтения
Массив стандартных шаблонов строк, используемых в качестве строки вставки для записи журнала событий.
MachineName
-
Тип данных: string
-
Тип доступа: только для чтения
Имя компьютера, на который инструментарий управления Windows (WMI) отправляет события.
Это свойство наследуется от __EventConsumer.
MaximumQueueSize
-
Тип данных: uint32
-
Тип доступа: только для чтения
Максимальная очередь для конкретного потребителя в байтах.
Это свойство наследуется от __EventConsumer.
имя;
-
Тип данных: string
-
Тип доступа: только для чтения
-
Квалификаторы: ключ
Уникальное имя потребителя.
NameOfRawDataProperty
-
Тип данных: string
-
Тип доступа: только для чтения
Имя свойства события, содержащего данные для передачи в параметр lpRawData функции ReportEvent.
NameOfUserSidProperty
-
Тип данных: string
-
Тип доступа: только для чтения
Имя свойства события, которое содержит идентификатор безопасности (SID), передаваемый в параметр lpUserSid функции ReportEvent. Свойство должно быть массивом байтов (uint8) или строкой. Если это массив байтов, предполагается, что он является идентификатором безопасности. Если это строка, это идентификатор безопасности строки, который преобразуется в sid.
NumberOfInsertionStrings
-
Тип данных: uint32
-
Тип доступа: только для чтения
Количество элементов в массиве InsertionStringTemplates .
SourceName
-
Тип данных: string
-
Тип доступа: только для чтения
Имя источника, в котором находится сообщение. Предполагается, что клиент зарегистрировал библиотеку DLL с необходимыми сообщениями.
Примечание
Значение этого параметра не должно содержать двоеточие (:) Символ.
UNCServerName
-
Тип данных: string
-
Тип доступа: только для чтения
Имя компьютера, на котором регистрируется событие, или NULL , если событие должно быть зарегистрировано на локальном сервере.
Пользователи, прошедшие проверку подлинности, по умолчанию не могут записывать события в журнал приложений на удаленном компьютере. В результате использование этого свойства для указания удаленного компьютера не будет работать. Чтобы узнать, как изменить безопасность журнала событий, ознакомьтесь с этой статьей базы знаний.
Комментарии
Класс NTEventLogEventConsumer является производным от абстрактного класса __EventConsumer .
Примеры
Пример использования NTEventLogEventConsumer для создания потребителя см. в разделе Ведение журнала событий NT на основе события.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента |
Windows Vista |
| Минимальная версия сервера |
Windows Server 2008 |
| Пространство имен |
Root\subscription |
| MOF |
|
| DLL |
|
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по