ReadEventLog获取windows系统日志描述的一个问题

VC/MFC > 基础类
收藏 回复
[问题点数:100分]
更多帖子
私信 空间 博客
hurryboylqs
本版专家分:38106
结帖率 99.11%
代码:


#include <atlbase.h>

#include <atlstr.h>

#include <iostream>

#include <string>

using namespace std;





#define BUFFER_SIZE 512*2   





int  main()

{

	HKEY hKey;

	DWORD dwType;

	char valueBuf[BUFFER_SIZE];

	TCHAR dllName[BUFFER_SIZE];

	DWORD dwSize;





	// Name of the event log.   

	LPCTSTR logName = TEXT("system");

	DWORD fm_flags = 0;

	HANDLE h;

	EVENTLOGRECORD *pevlr;

	BYTE bBuffer[BUFFER_SIZE];

	DWORD dwRead, dwNeeded;

	LPCTSTR lpSourceName;



	/* Flags for format event */

	fm_flags |= FORMAT_MESSAGE_FROM_HMODULE;

	fm_flags |= FORMAT_MESSAGE_ALLOCATE_BUFFER;

	fm_flags |= FORMAT_MESSAGE_FROM_SYSTEM;



	// Step 1: ---------------------------------------------------------   

	// Open the event log. ---------------------------------------------   

	h = OpenEventLog(NULL,	logName);

	if (h == NULL)

	{

		std::wcout << L"Could not open the event log." << std::endl;

		return 0;

	}



	// Step 2: ---------------------------------------------------------   

	// Initialize the event record buffer. -----------------------------   

	pevlr = (EVENTLOGRECORD *)&bBuffer;



	// Step 3: ---------------------------------------------------------   

	// When the event log is opened, the position of the file pointer   

	// is at the beginning of the log. Read the event log records   

	// sequentially until the last record has been read.   

	if (ReadEventLog(h,                // Event log handle   

		EVENTLOG_FORWARDS_READ |          // Reads forward   

		EVENTLOG_SEQUENTIAL_READ,         // Sequential read   

		0,                                // Ignored for sequential read   

		pevlr,                            // Pointer to buffer   

		BUFFER_SIZE,                      // Size of buffer   

		&dwRead,                          // Number of bytes read   

		&dwNeeded))                       // Bytes in the next record   

	{

		while (dwRead > 0)

		{

			// Get the event source name.   

			lpSourceName = (LPCTSTR)((LPBYTE)pevlr + sizeof(EVENTLOGRECORD));

			CString strKey;

			strKey.Format(TEXT("SYSTEM\\CURRENTCONTROLSET\\SERVICES\\EVENTLOG\\%s\\%s"), logName, lpSourceName);

			if (RegOpenKey(HKEY_LOCAL_MACHINE, strKey, &hKey) == ERROR_SUCCESS) {

				dwType = REG_EXPAND_SZ;

				dwSize = sizeof(valueBuf);

				if (RegQueryValueEx(hKey, "EventMessageFile", 0, &dwType, (unsigned char*)&valueBuf, &dwSize) != ERROR_SUCCESS) {

					printf("Some error occurred!\n");

				}

				ExpandEnvironmentStrings(valueBuf, dllName, dwSize);

			}

			RegCloseKey(hKey);



			// Step 4: ---------------------------------------------------------   

		   // Load the message DLL file. --------------------------------------   

			HMODULE hResources = NULL;

			hResources = LoadLibraryEx(dllName, NULL, LOAD_LIBRARY_AS_IMAGE_RESOURCE | LOAD_LIBRARY_AS_DATAFILE);



			// Print the information if the event source and the message   

			// match the parameters   

			LPTSTR pMessage = NULL;

			int num = 0;

			// Step 5: ----------------------------------------------   

			// Retrieve the message string. -------------------------   

			num = FormatMessage(

				fm_flags, // Format of message   

				hResources,                    // Handle to the DLL file   

				pevlr->EventID,              // Event message identifier   

				MAKELCID(LANG_NEUTRAL, SUBLANG_DEFAULT),

				(LPTSTR)&pMessage,

				0,

				NULL);                       // Array of insert values   



			FreeLibrary(hResources);



			if (pMessage)

			{

				std::wcout << L"Event message:" << pMessage << std::endl;

				LocalFree(pMessage);

			}



			dwRead -= pevlr->Length;

			pevlr = (EVENTLOGRECORD *)((LPBYTE)pevlr + pevlr->Length);

		}

	}



	// Step 6: -------------------------------------------------------------   

	// Close the event log.   

	CloseEventLog(h);



	return 0;

}


对于64位系统,编译成x64,用管理员执行,发现对于事件源是Microsoft-Windows-Kernel-General的事件,通过对应dll获取到的描述跟在计算机管理看到的内容不一致,比如事件ID是12的描述是:
操作系统已在系统时间 ‎2019‎-‎08‎-‎29T05:44:16.500000000Z 启动。
但是从上面代码获取到的却是:访问码无效
大部分事件类型都能得到正确的内容就有几个event source不正确,不知何故
微软的大拿解析下啥原因?
只看楼主 引用 举报 楼主 收起
展开阅读全文
更多帖子
私信 空间 博客
zgl7903
本版专家分:154027
Blank
探花 2019年总版新获得的技术专家分排名第三
Blank
进士 2018年总版新获得的技术专家分排名前十
Blank
银牌 2020年6月 总版技术专家分月排行榜第二
2020年4月 总版技术专家分月排行榜第二
2019年7月 总版技术专家分月排行榜第二
2019年5月 总版技术专家分月排行榜第二
Blank
铜牌 2020年1月 总版技术专家分月排行榜第三
2019年8月 总版技术专家分月排行榜第三
2019年4月 总版技术专家分月排行榜第三
2019年3月 总版技术专家分月排行榜第三
试试其它的事件类型呢 
https://docs.microsoft.com/zh-cn/windows/win32/eventlog/eventlog-key

只看TA 引用 举报 #1得分 0
更多帖子
私信 空间 博客
zgl7903
本版专家分:154027
Blank
探花 2019年总版新获得的技术专家分排名第三
Blank
进士 2018年总版新获得的技术专家分排名前十
Blank
银牌 2020年6月 总版技术专家分月排行榜第二
2020年4月 总版技术专家分月排行榜第二
2019年7月 总版技术专家分月排行榜第二
2019年5月 总版技术专家分月排行榜第二
Blank
铜牌 2020年1月 总版技术专家分月排行榜第三
2019年8月 总版技术专家分月排行榜第三
2019年4月 总版技术专家分月排行榜第三
2019年3月 总版技术专家分月排行榜第三
Querying for Event Information

只看TA 引用 举报 #2得分 0
更多帖子
私信 空间 博客
hurryboylqs
本版专家分:38106
引用 2 楼 zgl7903 的回复:
Querying for Event Information

就是根据MSDN例子写的,代码也就那么几行
只看TA 引用 举报 #3得分 0
更多帖子
私信 空间 博客
hurryboylqs
本版专家分:38106
就这么沉下去了,擦
只看TA 引用 举报 #4得分 0
收起
收藏 回复
hurryboylqs

等级:

关注 私信 TA的帖子
使用EventLog类写Windows事件日志

此文转自 银河使者  http://www.cnblogs.com/nokiaguy/archive/2009/02/26/1398708.html 多谢作者分享    操作系统Windows XP SP3  开发工具: Visual Studio 2008  语言: C# 3.0  .net Fram

C++如何使用EventLog实时读取Windows系统日志

``` EventLog^ log = gcnew EventLog(); log->Log = ("system"); EventLogEntryCollection^ myCollection ...通过以上程序可以直接读取Windows系统日志,但却是次性的; 如何实时监控,日志出现就读取出来

C++如何使用EVENTLOGRECORD读取Windows系统日志解析后的详细信息

//获取事件描述  if (ptr->DataOffset > ptr->StringOffset) { pchar = Data + i + ptr->StringOffset; printf("%s ", pchar); for (short j = 0; j < ptr->NumStrings; j++) { ...

如何读取Windows系统事件日志(获得上次关机时间、本次开机时间等)

如何读取Windows系统事件日志(获得上次关机时间、本次开机时间等)根据开机事件的EventID为6005,关机事件的EventID为6006;来读出相应的时间。(1) 读取事件日志#include #include #include #include using ...

详解EVENTLOGRECORD结构体遇到的问题

详解EVENTLOGRECORD结构体遇到的问题

获取信息的有关Windows API

1.窗口信息 MS为我们提供了打开特定桌面和枚举桌面窗口的函数。 hDesk=OpenDeskt 1.窗口信息 MS为我们提供了打开特定桌面和枚举桌面窗口的函数。...hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE);...

获取系统信息的有关Windows API

获取系统信息的有关Windows API 1.窗口信息MS为我们提供了打开特定桌面和枚举桌面窗口的函数。hDesk = OpenDesktop(lpszDesktop, 0, FALSE, DESKTOP_ENUMERATE);// 打开我们默认

windows下取得系统常用信息方法

Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里...下面就让我们看看它们的开发原理,并动手实现一个真正的任务管理器。现在我们是调用Win32API来实现这些功能的,但是大家都说MS隐藏了太多的

系统安全日志开发心得

随着计算机技术和网络技术的发展,计算机系统和其他网络设备的复杂性越来越高,由此由入侵行为或者非法的操作等引起的问题也就越来越多。所以在计算机系统中或系统中的软件都使用日志记录其资源的使用情况和其他一些...

Windows常用系统函数

windows常用系统函数

获取信息的有关Windows API

获取信息的有关Windows API  一起学习  1.窗口信息 MS为我们提供了打开特定桌面和枚举桌面窗口的函数。 hDesk = OpenDesktop(lpszDesktop, 0, FALSE, DESKTOP_ENUMERATE); // 打开...

剖析Windows任务管理器开发原理与实现(转)

Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比...下面就让我们看看它们的开发原理,并动手实现一个真正的任务管理器。现在我们是调用Win32API来实现这些功能的,但是大家都说MS隐藏

Python_Windows系统编程_深入浅出_下篇

上篇博客记录了Python的一些常用系统模块和其用法,包括注册表编程,创建可执行文件,调用外部文件等系统操作,这一节记录Windows系统编程的其他部分。 4. 判断操作系统的版本 某些情况下,程序可能依赖于特定版本...

Windows任务管理器开发原理与实现

说了这么多,我们也该谈谈如何实现了。 1.窗口信息 MS为我们提供了打开特定桌面和枚举桌面窗口的函数。 hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE); //打开我们默认的Default桌面;...

windows 系统信息API

一起学习<!--google_ad_client = "pub-7345584400661736";/* 336x280, 创建于 08-4-7,一起美容 */google_ad_slot = "6079382880";google_ad_width = 336;google_ad_height = 280;//-->window.google_

Windows任务管理器开发原理与实现(转)

 原文地址: ...  Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加强大,返回的信息也更加的详细,...您是否觉得Windows系统管理工具箱里的东西太分散了吗?下面

相关热词 c#中如何设置提交按钮 c#帮助怎么用 c# 读取合并单元格的值 c#带阻程序 c# 替换span内容 c# rpc c#控制台点阵字输出 c#do while循环 c#调用dll多线程 c#找出两个集合不同的