通过

EVT_QUERY_FLAGS 枚举 (winevt.h)

  • 项目

定义值,这些值指定如何返回查询结果,以及是针对通道还是日志文件进行查询。

语法

typedef enum _EVT_QUERY_FLAGS {
  EvtQueryChannelPath = 0x1,
  EvtQueryFilePath = 0x2,
  EvtQueryForwardDirection = 0x100,
  EvtQueryReverseDirection = 0x200,
  EvtQueryTolerateQueryErrors = 0x1000
} EVT_QUERY_FLAGS;

常量

 
EvtQueryChannelPath
值: 0x1
指定查询针对一个或多个通道。 EvtQuery 函数的 Path 参数必须指定通道的名称或 NULL
EvtQueryFilePath
值: 0x2
指定查询针对一个或多个日志文件。 EvtQuery 函数的 Path 参数必须指定日志文件的完整路径或 NULL
EvtQueryForwardDirection
值: 0x100
指定查询结果中的事件按从旧到最新的顺序排序。 这是默认值。
EvtQueryReverseDirection
值: 0x200
指定查询结果中的事件按从最新到最旧的顺序排序。
EvtQueryTolerateQueryErrors
值: 0x1000
指定 EvtQuery 应运行查询,即使查询部分生成错误, (格式不正确) 。 该服务验证 XPath 查询的语法,以确定其格式是否良好。 如果验证失败,服务会将 XPath 分析为单个表达式。 它从最左侧的表达式开始生成新的 XPath。 服务验证表达式,如果表达式有效,服务会将下一个表达式添加到 XPath。 服务会重复此过程,直到找到失败的表达式。 然后,它使用从最左侧表达式开始找到的有效表达式作为 XPath 查询 (这意味着你可能无法获得预期) 的事件。 如果 XPath 的一部分无效, 则 EvtQuery 调用将失败。

注解

EvtQueryChannelPath 和 EvtQueryFilePath 标志互斥。 EvtQueryForwardDirection 和 EvtQueryReverseDirection 标志也是互斥的。

只能从调试和分析通道以及 .evt 和 .etl 日志文件向前检索事件。

要求

要求
最低受支持的客户端 Windows Vista [仅限桌面应用]
最低受支持的服务器 Windows Server 2008 [仅限桌面应用]
标头 winevt.h

另请参阅

EvtQuery