Справочные сведения о журналах событий
Обновлен: Ноябрь 2007
По умолчанию на компьютере ведется три журнала событий: журнал событий приложений, журнал событий безопасности и журнал системных событий. В дополнение к данным журналам могут существовать дополнительные журналы, установленные приложениями, и журналы, созданные пользователями. Пользователь выбирает, какие из данных журналов будут использоваться. Методы обращения к тому или иному журналу различаются в зависимости от того, требуется ли читать записи журнала или добавлять записи в журнал. На следующем рисунке показан процесс обращения к журналам для операций чтения и записи.
Обращение к журналам событий
.gif "Ссылки на журнал событий Visual Basic")
Обращение к журналу событий для чтения
Для чтения записей из журнала событий следует выбрать нужный журнал, указав имя компьютера и имя самого журнала. "Имя компьютера" обозначает сервер, на котором хранится журнал событий, а "имя журнала" — это название журнала. Имя компьютера можно не задавать; по умолчанию используется имя локального компьютера.
Например, имеется экземпляр компонента EventLog, который нужно использовать для чтения записей из пользовательского журнала с названием "OrderEntrySystem", который хранится на сервере с именем "myserver". Для подключения к этому журналу требуется указать следующие параметры:
Имя компьютера "myserver"
Имя журнала "OrderEntrySystem"
Имя компьютера, на котором хранится журнал, можно извлечь, обратившись к свойству MachineName. Имя журнала можно извлечь при помощи свойства Log.
.gif "Примечание о безопасности") Примечание о безопасности. |
|---|
Относитесь к данным из журнала событий, как и к любой другой информации, поступающей в систему из внешних источников. Возможно, потребуется проверка данных журнала событий приложением перед их использованием в качестве входных данных. Другой, возможно, вредоносный, процесс мог получить доступ к журналу событий и добавить в него свои записи. |
Обращение к журналу событий для записи
Для добавления записей в журнал событий необходимо задать свойство Source. Свойство Source регистрирует компонент в журнале событий в качестве допустимого источника записей. В качестве значения свойства Source можно указать любую строку, однако имеет смысл ввести название проекта.
.gif "Примечание") Примечание. |
|---|
Если источник уже зарегистрирован в журнале, для добавления записей в этот журнал имя журнала задавать не нужно. Можно также не указывать имя компьютера, в данном случае будет использоваться локальный компьютер. |
Например, имеется экземпляр компонента EventLog, который нужно использовать для добавления записей в пользовательский журнал с названием "OrderEntrySystem", который хранится на локальном компьютере. Если источник еще не зарегистрирован, тогда необходимо подключиться к этому журналу, указав в качестве имени компьютера ".", имя журнала "OrderEntrySystem" и задав источник любой текстовой строкой.
| Примечание. |
|---|
В данном случае точка вместо имени компьютера обозначает локальный компьютер. |
Один источник может быть одновременно связан только с одним журналом событий (а следовательно, и добавлять записи только в этот журнал), однако один журнал событий может получать записи сразу от нескольких источников. Это означает, что каждый экземпляр компонента EventLog, настроенный на взаимодействие с определенным источником, может добавлять записи только в один журнал. При необходимости добавления записей в несколько журналов следует использовать разные экземпляры или изменить свойство Source существующего экземпляра. Дополнительные сведения об источниках журналов событий см. в разделе EventLog или Знакомство с компонентом EventLog.
См. также
Задачи
Пошаговое руководство. Работа с журналами событий, источниками событий и записями