ReadEventLog后的问题,大家来讨论下

槐芽 2012-03-02 03:55:22
调用ReadEventLog获取到Windows事件查看器的系统日志后,遇到了一个问题:

读出来的EventID与事件ID是一个东西吗?如果是,如何将EventID解析为事件ID?

msdn中是ReadEventLog的结构是这样的:

BOOL ReadEventLog(

  HANDLE hEventLog,                // handle to event log

  DWORD dwReadFlags,               // how to read log

  DWORD dwRecordOffset,            // initial record offset

  LPVOID lpBuffer,                 // buffer for read data

  DWORD nNumberOfBytesToRead,      // bytes to read

  DWORD *pnBytesRead,              // number of bytes read

  DWORD *pnMinNumberOfBytesNeeded  // bytes required

);


其中lpBuffer中存放的是一个EVENTLOGRECORD structure,定义如下:

typedef struct _EVENTLOGRECORD { 

  DWORD  Length; 

  DWORD  Reserved; 

  DWORD  RecordNumber; 

  DWORD  TimeGenerated; 

  DWORD  TimeWritten; 

  DWORD  EventID; 

  WORD   EventType; 

  WORD   NumStrings; 

  WORD   EventCategory; 

  WORD   ReservedFlags; 

  DWORD  ClosingRecordNumber; 

  DWORD  StringOffset; 

  DWORD  UserSidLength; 

  DWORD  UserSidOffset; 

  DWORD  DataLength; 

  DWORD  DataOffset; 

  // 

  // Followed by: 

  // 

  // TCHAR SourceName[] 

  // TCHAR Computername[] 

  // SID   UserSid 

  // TCHAR Strings[] 

  // BYTE  Data[] 

  // CHAR  Pad[] 

  // DWORD Length; 

  // 

} EVENTLOGRECORD, *PEVENTLOGRECORD;


其中的EventID又是这样解释的:

3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1
1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0
+---+-+-+-----------------------+-------------------------------+
|Sev|C|R| Facility | Code |
+---+-+-+-----------------------+-------------------------------+

这个EventID应该如何解析为事件ID,又或者事件ID对应的是EVENTLOGRECORD structure中另外的东西?搞不懂~

还有,我通过ReadEventLog读到的日志信息不全,感觉是挑着显示,但是又看不出来有什么规律,希望知道的同学来指导下,不甚感激,先谢谢了!
...全文
169 1 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
剖析Windows任务管理器开发原理与实现
剖析Windows任务管理器开发原理与实现Author: Brief[原创]  E-Mail: Brief@fz5fz.org  Homepage: www.fz5fz.org && www.safechina.net  Date: 05-01-2003        Windows2000/XP内含的任务治理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加强大,返回
windows下取得系统常用信息方法
 Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加强大,返回的信息也更加的详细,不过您是否觉得还有很多希望获得的消息没有包含在里面吗?您是否觉得Windows的系统管理工具箱里的东西太分散了吗?下面就让我们看看它们的开发原理,并动手实现一个真正的任务管理器。现在我们是调用Win32API来实现这些功能的,但是大家都说MS隐藏了
6. 事件记录
当一个典型的软件应用程序必须在某些特殊情况下让使用者知道时,通常会使用视觉或听觉返回的方式。软件大多数会给予这种类型事件报告的享受,因为它可以建立一个重要的假定:当它正在执行,而一个人类坐在机器的前面。然而,大部份的伺服软件并不能在上述之假设情形中执行。因此,服务器开发者使用文件或者一些其他类似持久稳固的储存器来保存经由软件报告的事件记录。然后系统管理者便可以经常地察看记录文件并且持续的监
Python 解析 Windows 事件日志并存入数据库
安装必要的库。连接到 Windows 事件日志。解析日志条目。将解析后的数据存入 SQLite 数据库。通过上述方法,我们可以有效地利用 Python 脚本来自动化 Windows 事件日志的分析过程,并将其结果保存至数据库中以备后续查询和报告生成。这种方法不仅提高了效率,还增强了数据的可追溯性和可用性。希望这篇博客对你有所帮助!如果你有任何疑问或建议,请随时留言讨论。```
剖析Windows任务管理器开发原理与实现(转)
    Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加强大,返回的信息也更加的详细,不过您是否觉得还有很多希望获得的消息没有包含在里面吗?您是否觉得Windows的系统管理工具箱里的东西太分散了吗?下面就让我们看看它们的开发原理,并动手实现一个真正的任务管理器。现在我们是调用Win32API来实现这些功能的,但是大家都说MS隐藏
C++ 语言

65,195

社区成员

250,526

社区内容

发帖
与我相关
我的任务
社区描述
C++ 语言相关问题讨论,技术干货分享,前沿动态等
c++ 技术论坛(原bbs)
社区管理员
  • C++ 语言社区
  • encoderlee
  • paschen
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
  1. 请不要发布与C++技术无关的贴子
  2. 请不要发布与技术无关的招聘、广告的帖子
  3. 请尽可能的描述清楚你的问题,如果涉及到代码请尽可能的格式化一下

试试用AI创作助手写篇文章吧

+ 用AI写文章