EVT_SUBSCRIBE_FLAGS 枚举 (winevt.h)
定义指定何时开始订阅事件的可能值。
语法
typedef enum _EVT_SUBSCRIBE_FLAGS {
EvtSubscribeToFutureEvents = 1,
EvtSubscribeStartAtOldestRecord = 2,
EvtSubscribeStartAfterBookmark = 3,
EvtSubscribeOriginMask = 3,
EvtSubscribeTolerateQueryErrors = 0x1000,
EvtSubscribeStrict = 0x10000
} EVT_SUBSCRIBE_FLAGS;
常量
EvtSubscribeToFutureEvents值:1 仅订阅与查询条件匹配的未来事件。 |
EvtSubscribeStartAtOldestRecord值: 2 订阅与查询条件匹配的所有现有事件和将来事件。 |
EvtSubscribeStartAfterBookmark值: 3 订阅与书签事件之后开始的查询条件匹配的所有现有和将来事件。 如果包含 EvtSubscribeStrict 标志,则 EvtSubscribe 函数在书签事件不存在时失败。 如果不包含 EvtSubscribeStrict 标志,并且已加入书签的事件不存在,则订阅从最接近书签事件的事件之后的事件开始。 |
EvtSubscribeOriginMask值: 3 一个位掩码,可用于确定设置以下哪些标志:
|
EvtSubscribeTolerateQueryErrors值: 0x1000 完成订阅,即使查询部分生成错误, (格式不正确) 也是如此。 服务验证 XPath 查询的语法,以确定其格式是否正确。 如果验证失败,服务会将 XPath 分析为单个表达式。 它从最左侧的表达式开始生成新的 XPath。 服务验证表达式,如果有效,服务会将下一个表达式添加到 XPath。 服务会重复此过程,直到找到失败的表达式。 然后,它使用从最左侧的表达式开始找到的有效表达式作为 XPath 查询 (这意味着你可能无法获取预期) 的事件。 如果 XPath 没有任何部分有效, 则 EvtSubscribe 调用将失败。 |
EvtSubscribeStrict值: 0x10000 如果指定 EvtSubscribeStartAfterBookmark ,并且未找到书签事件, (返回值ERROR_NOT_FOUND) ,则强制 EvtSubscribe 调用失败。 此外,如果要在缺少事件记录时在回调中接收通知,请设置此标志。 |
注解
EvtSubscribeToFutureEvents、EvtSubscribeStartAtOldestRecord 和 EvtSubscribeStartAfterBookmark 标志互斥。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 [仅限桌面应用] |
| 标头 | winevt.h |