Windows 事件日志
Windows 事件日志技术概述。
若要开发 Windows 事件日志,需要以下标头:
有关此技术的编程指南,请参阅:
枚举
| EVT_CHANNEL_CLOCK_TYPE 定义指定日志记录事件通道时要使用的时间戳类型的值。 |
| EVT_CHANNEL_CONFIG_PROPERTY_ID 定义标识通道配置属性的标识符。 |
| EVT_CHANNEL_ISOLATION_TYPE 定义要应用于通道的默认访问权限。 |
| EVT_CHANNEL_REFERENCE_FLAGS 定义指定如何引用通道的值。 |
| EVT_CHANNEL_SID_TYPE 定义值,这些值确定事件是否包括记录事件的主体的安全标识符 (SID) 。 |
| EVT_CHANNEL_TYPE 定义通道的类型。 |
| EVT_EVENT_METADATA_PROPERTY_ID 定义标识事件定义的元数据属性的标识符。 |
| EVT_EVENT_PROPERTY_ID 定义确定要检索的查询信息的值。 |
| EVT_EXPORTLOG_FLAGS 定义指示事件是来自通道还是日志文件的值。 |
| EVT_FORMAT_MESSAGE_FLAGS 定义值,这些值指定要格式化的事件中的消息字符串。 |
| EVT_LOG_PROPERTY_ID 定义标识通道或日志文件的日志文件元数据属性的标识符。 |
| EVT_LOGIN_CLASS 定义可用于连接到远程计算机的连接方法的类型。 |
| EVT_OPEN_LOG_FLAGS 定义指定是打开通道还是导出日志文件的值。 |
| EVT_PUBLISHER_METADATA_PROPERTY_ID 定义标识提供程序的元数据属性的标识符。 |
| EVT_QUERY_FLAGS 定义值,这些值指定如何返回查询结果,以及是否针对通道或日志文件进行查询。 |
| EVT_QUERY_PROPERTY_ID 定义标识可以检索的查询信息的标识符。 |
| EVT_RENDER_CONTEXT_FLAGS 定义值,这些值指定要从事件访问的信息类型。 |
| EVT_RENDER_FLAGS 定义指定要呈现的内容的值。 |
| EVT_RPC_LOGIN_FLAGS 定义在连接到远程计算机时可用于对用户进行身份验证的身份验证类型。 |
| EVT_SEEK_FLAGS 定义要从中查找的结果集中的相对位置。 |
| EVT_SUBSCRIBE_FLAGS 定义指定何时开始订阅事件的可能值。 |
| EVT_SUBSCRIBE_NOTIFY_ACTION 定义订阅服务可以传递到回调的可能数据类型。 |
| EVT_SYSTEM_PROPERTY_ID 定义标识事件的系统特定属性的标识符。 |
| EVT_VARIANT_TYPE 定义变体数据项的可能数据类型。 |
函数
| EVT_SUBSCRIBE_CALLBACK 如果调用 EvtSubscribe 函数以接收与查询匹配的事件,则实现此回调。 |
| EvtArchiveExportedLog 将本地化字符串添加到指定日志文件中的事件。 |
| EvtCancel 取消句柄上的所有挂起操作。 |
| EvtClearLog 从指定通道中删除所有事件,并将其写入目标日志文件。 |
| EvtClose 关闭打开的句柄。 |
| EvtCreateBookmark 创建一个书签,用于标识通道中的事件。 |
| EvtCreateRenderContext 创建一个上下文,该上下文指定要呈现的事件中的信息。 |
| EvtExportLog 从指定的通道或日志文件复制事件,并将其写入目标日志文件。 |
| EvtFormatMessage 设置消息字符串的格式。 (EvtFormatMessage) |
| EvtGetChannelConfigProperty 获取指定的通道配置属性。 |
| EvtGetEventInfo 获取标识所选事件的结构化 XML 查询以及包含该事件的通道或日志文件的信息。 |
| EvtGetEventMetadataProperty 获取指定的事件元数据属性。 |
| EvtGetExtendedStatus 获取包含当前错误的扩展错误信息的文本消息。 |
| EvtGetLogInfo 获取有关通道或日志文件的信息。 |
| EvtGetObjectArrayProperty 从数组中的指定对象获取提供程序元数据属性。 |
| EvtGetObjectArraySize 获取 对象数组中的元素数。 |
| EvtGetPublisherMetadataProperty 获取指定的提供程序元数据属性。 |
| EvtGetQueryInfo 获取有关所运行的查询的信息,该查询标识查询尝试访问的通道或日志文件的列表。 函数还会获取指示每次访问成功或失败的返回代码列表。 |
| EvtNext 从查询或订阅结果中获取下一个事件。 |
| EvtNextChannelPath 从枚举器获取通道名称。 |
| EvtNextEventMetadata 从枚举器获取事件定义。 |
| EvtNextPublisherId 从枚举器获取提供程序的标识符。 |
| EvtOpenChannelConfig 获取用于读取或修改通道配置属性的句柄。 |
| EvtOpenChannelEnum 获取用于枚举计算机上注册的通道列表的句柄。 |
| EvtOpenEventMetadataEnum 获取用于枚举提供程序定义的事件列表的句柄。 |
| EvtOpenLog 获取通道或日志文件的句柄,然后可用于获取有关通道或日志文件的信息。 |
| EvtOpenPublisherEnum 获取用于枚举计算机上已注册提供程序列表的句柄。 |
| EvtOpenPublisherMetadata 获取用于读取指定提供程序元数据的句柄。 |
| EvtOpenSession 建立与远程计算机的连接,可在调用其他 Windows 事件日志函数时使用该连接。 |
| EvtQuery 运行查询以从与指定查询条件匹配的通道或日志文件中检索事件。 |
| EvtRender 根据指定的呈现上下文呈现 XML 片段。 |
| EvtSaveChannelConfig 保存对通道配置所做的更改。 |
| EvtSeek 在查询结果集中查找特定事件。 |
| EvtSetChannelConfigProperty 设置通道的指定配置属性。 |
| EvtSubscribe 创建一个订阅,该订阅将从与指定查询条件匹配的通道或日志文件接收当前和将来的事件。 |
| EvtUpdateBookmark 使用标识指定事件的信息汇报书签。 |
结构
| EVT_RPC_LOGIN 包含用于连接到远程计算机的信息。 |
| EVT_VARIANT 包含事件数据或属性值。 |