У меня есть код C++, который вполне успешно читает журналы событий Application, Security или System, используя вызовы API OpenEventLog и ReadEventLog. Я хочу прочитать журнал событий установки в Windows 7, поэтому я передаю «Настройка» в качестве имени журнала в OpenEventLog, но я просто возвращаю содержимое журнала приложений (что является задокументированным поведением для неизвестных журналов). Как прочитать журнал событий установки?
Как прочитать журнал событий установки в Windows 7
Ответы (1)
Я решил это. Поскольку журнал событий настройки представляет собой журнал нового формата, его можно открыть только с помощью новых вызовов API EvtQuery, EvtNext и т. д., старые функции OpenEventLog/ReadEventLog не работают с ним.
person
Paul Dolphin
schedule
16.08.2011
Если мы хотим получить только последнее событие с определенным идентификатором события, возможно ли это?
- person RDX; 05.01.2017
Похоже, это должно быть возможно. Параметр Query представляет собой выражение XPath, поэтому можно указать что-то вроде Event/System[EventID=4] и запросить обратное направление.
- person Paul Dolphin; 06.01.2017
