ReadEventLogW 函式 (winbase.h)

發行項
03/03/2024

從指定的事件記錄檔讀取指定的項目數目。函式可用來依時間順序或反向時間順序讀取記錄專案。

語法

BOOL ReadEventLogW(
  [in]  HANDLE hEventLog,
  [in]  DWORD  dwReadFlags,
  [in]  DWORD  dwRecordOffset,
  [out] LPVOID lpBuffer,
  [in]  DWORD  nNumberOfBytesToRead,
  [out] DWORD  *pnBytesRead,
  [out] DWORD  *pnMinNumberOfBytesNeeded
);

參數

[in] hEventLog

要讀取之事件記錄檔的句柄。 OpenEventLog 函式會傳回這個句柄。

[in] dwReadFlags

使用下列旗標值來指出如何讀取記錄檔。此參數必須包含下列其中一個值， (旗標互斥) 。

值	意義
EVENTLOG_SEEK_READ 0x0002	從 dwRecordOffset 參數中指定的記錄開始讀取。如果函式無法判斷記錄檔的大小，此選項可能無法使用大型記錄檔。如需詳細資訊，請參閱知識庫文章177199。
EVENTLOG_SEQUENTIAL_READ 0x0001	循序讀取記錄。如果這是第一個讀取作業，EVENTLOG_FORWARDS_READ EVENTLOG_BACKWARDS_READ旗標會決定先讀取哪一筆記錄。

您必須指定下列其中一個旗標，以指出 (旗標互斥) 的後續讀取作業方向。

值	意義
EVENTLOG_FORWARDS_READ 0x0004	記錄會依時間順序讀取， (最舊到最新的) 。預設值。
EVENTLOG_BACKWARDS_READ 0x0008	記錄是以反向時間順序讀取， (最舊的) 。

[in] dwRecordOffset

讀取作業應該啟動之記錄項目的記錄編號。除非 dwReadFlags 包含 EVENTLOG_SEEK_READ 旗標，否則會忽略此參數。

[out] lpBuffer

將接收一或多個 EVENTLOGRECORD 結構的應用程式配置緩衝區。即使 nNumberOfBytesToRead 參數為零，此參數也無法為 NULL。

這個緩衝區的大小上限是0x7ffff個字節。

[in] nNumberOfBytesToRead

lpBuffer 緩衝區的大小，以位元組為單位。此函式會讀取符合緩衝區的記錄項目數目;函式不會傳回部分專案。

[out] pnBytesRead

接收函式所讀取位元組數目之變數的指標。

[out] pnMinNumberOfBytesNeeded

接收 lpBuffer 緩衝區所需大小的變數指標。這個值只有效，此函式只會傳回零，而 GetLastError 會 傳回ERROR_INSUFFICIENT_BUFFER。

傳回值

如果函式成功，則傳回非零的值。

如果此函式失敗，則傳回值為零。若要取得擴充的錯誤資訊，請呼叫 GetLastError。

備註

當此函式成功傳回時，事件記錄檔中的讀取位置會依讀取的記錄數目進行調整。

注意此來源的已設定檔名也可能是其他來源的配置檔名， (數個來源可以當做單一記錄) 下的子機碼存在。因此，此函式可能會傳回多個來源所記錄的事件。

範例

如需範例，請參閱查詢事件資訊。

注意

winbase.h 標頭會將 ReadEventLog 定義為別名，根據 UNICODE 預處理器常數的定義，自動選取此函式的 ANSI 或 Unicode 版本。混合使用編碼中性別名與非編碼中性的程序代碼，可能會導致編譯或運行時間錯誤不符。如需詳細資訊，請參閱函式原型的慣例。

規格需求

需求	值
最低支援的用戶端	Windows 2000 專業版 [僅限傳統型應用程式]
最低支援的伺服器	Windows 2000 Server [僅限傳統型應用程式]
目標平台	Windows
標頭	winbase.h (包含 Windows.h)
程式庫	Advapi32.lib
Dll	Advapi32.dll
API 集合	ext-ms-win-advapi32-eventlog-ansi-l1-1-0 (於 Windows 10 10.0.10240 版)