如何在 C# 中獲取所有 Windows 事件日志(事件查看器日志)及其層次結構和友好名稱的列表
[英]How to get a list of all Windows Event Logs (Event Viewer Logs) with their hierarchy and friendly names in C#
問題描述
我正在嘗試從事件查看器中復制以下內容:
我遇到了一些問題。
- 我得到的一些名稱不是顯示名稱或友好名稱。 例如,對於“Microsoft Office Alerts”,我只返回“Oalerts”。 如何從“Oalerts”獲取完整的“Microsoft Office Alerts”?
弄清楚層次結構。 似乎我所能做的就是解析破折號並進行某種最佳猜測。 API 中似乎沒有一種簡單的方法來解決這個問題。
GetLogNames只是為您提供所有日志的平面列表EventLogSession session = new EventLogSession(); List<string> logNames = new List<string>(session.GetLogNames()); foreach (string name in logNames) { //EventLogConfiguration config = new EventLogConfiguration(name); //looks useful but doesn't give me any of the info i'm looking for. Console.WriteLine(name); }
1 個解決方案
解決方案1
6 已采納 2016-06-08 23:07:08
此處的博客: EventSource NuGet 包和對 Windows 事件日志的支持(通道支持)有一個鏈接,指向一個罕見的EventSource 用戶指南文檔,該文檔說明了這一點:
請使用 EventSourceAttribute 的 Name 屬性為事件源表示的 ETW 事件提供程序提供描述性的限定名稱。 默認值是事件源類型的短名稱,這很容易導致沖突,因為 ETW 提供程序名稱共享一個機器范圍的命名空間。 一個好的提供者名稱的例子“
<CompanyName>-<Product>-<Component>”。 遵循此 3 元素約定將確保事件查看器在邏輯文件夾層次結構中顯示您的事件日志:“Application and Services Logs/<CompanyName>/<Product>/<Component>”。
這往往表明破折號更像是一種約定而不是嚴格的要求(所以我相信你可以自己解析它)。 請注意,該博客仍然開放以供評論。
對於不匹配的名稱,有一個未記錄的EvtIntGetClassicLogDisplayName函數可以讓您在事件查看器中顯示名稱。 以下是如何將它與會話和日志名稱一起使用:
static void Main(string[] args)
{
var session = new EventLogSession();
foreach (string name in session.GetLogNames())
{
Console.WriteLine(GetDisplayName(session, name));
}
}
這是支持代碼(因為它沒有記錄,使用風險自負,而且它似乎主要用於這個“OAlert”條目,所以我不確定它是否值得):
public static string GetDisplayName(EventLogSession session, string logName)
{
var sb = new StringBuilder(512);
int bufferUsed = 0;
if (EvtIntGetClassicLogDisplayName(GetSessionHandle(session).DangerousGetHandle(), logName, 0, 0, sb.Capacity, sb, out bufferUsed))
return sb.ToString();
return logName;
}
private static SafeHandle GetSessionHandle(EventLogSession session)
{
return (SafeHandle)session.GetType().GetProperty("Handle", BindingFlags.Instance | BindingFlags.NonPublic).GetValue(session);
}
[DllImport("wevtapi.dll", CharSet = CharSet.Unicode)]
private static extern bool EvtIntGetClassicLogDisplayName(IntPtr session, [MarshalAs(UnmanagedType.LPWStr)] string logName, int locale, int flags, int bufferSize, [MarshalAs(UnmanagedType.LPWStr)] StringBuilder displayName, out int bufferUsed);
如何從Windows事件查看器獲取特定應用程序的事件日志
[英]How to obtain event logs for particular application from Windows Event Viewer
Windows 7中的C#Windows服務找不到源,但是無法搜索某些或所有事件日志。 無法訪問的日志:安全性
[英]c# windows service in windows 7 The source was not found, but some or all event logs could not be searched. Inaccessible logs: Security
在事件查看器的“應用程序和服務日志”部分中創建應用程序和事件日志
[英]Creating an application and event logs in the “applications and services logs” section of the event viewer
程序無法啟動; 事件查看器記錄ConfigurationsErrorException
[英]Program fails to start; Event Viewer logs ConfigurationsErrorException
使用c#從事件查看器中獲取最新的Windows啟動登錄事件數據?
[英]get the latest windows Startup Login event data from event viewer using c#?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用C#將事件查看器日志導出到csv
如何使用 C# 獲取事件查看器中所有提供程序的列表?
如何從Windows事件查看器獲取特定應用程序的事件日志
Windows 7中的C#Windows服務找不到源,但是無法搜索某些或所有事件日志。 無法訪問的日志:安全性
C# windows 事件查看器
從同一域中的服務器獲取事件日志(C#)
如何清除Windows中的所有事件日志?
在事件查看器的“應用程序和服務日志”部分中創建應用程序和事件日志
程序無法啟動; 事件查看器記錄ConfigurationsErrorException
使用c#從事件查看器中獲取最新的Windows啟動登錄事件數據?
相關標簽