Windows 事件日志函数
Windows 事件日志定义了以下函数,你可以使用这些函数从通道或事件日志中获取事件,以及获取提供程序及其生成的事件的元数据。
| 函数 | 说明 |
|---|---|
| EVT_SUBSCRIBE_CALLBACK | 如果调用 EvtSubscribe 函数以接收与查询匹配的事件,则实现此回调。 |
| EvtArchiveExportedLog | 将本地化字符串添加到指定日志文件中的事件。 |
| EvtCancel | 取消句柄上的所有挂起操作。 |
| EvtClearLog | 从指定通道中删除所有事件,并将其写入目标日志文件。 |
| EvtClose | 关闭打开的句柄。 |
| EvtCreateBookmark | 创建一个书签,用于标识通道中的事件。 |
| EvtCreateRenderContext | 创建一个上下文,该上下文指定要呈现的事件中的信息。 |
| EvtExportLog | 从指定的通道或日志文件复制事件,并将其写入目标日志文件。 |
| EvtFormatMessage | 设置消息字符串的格式。 |
| EvtGetChannelConfigProperty | 获取指定的通道配置属性。 |
| EvtGetEventInfo | 获取标识选择事件的结构化 XML 查询以及来自事件的通道或日志文件的信息。 |
| EvtGetEventMetadataProperty | 获取指定的事件元数据属性。 |
| EvtGetExtendedStatus | 获取包含当前错误的扩展错误信息的文本消息。 |
| EvtGetLogInfo | 获取有关通道或日志文件的信息。 |
| EvtGetObjectArrayProperty | 从数组中的指定对象获取提供程序元数据属性。 |
| EvtGetObjectArraySize | 获取 对象数组中的元素数。 |
| EvtGetPublisherMetadataProperty | 获取指定的提供程序元数据属性。 |
| EvtGetQueryInfo | 获取有关所运行的查询的信息,该查询标识查询尝试访问的通道或日志文件列表,以及指示每次访问成功或失败的返回代码列表。 |
| EvtNext | 从查询或订阅结果中获取下一个事件。 |
| EvtNextChannelPath | 从枚举器获取通道名称。 |
| EvtNextEventMetadata | 从枚举器获取事件定义。 |
| EvtNextPublisherId | 从枚举器获取提供程序的标识符。 |
| EvtOpenChannelConfig | 获取用于读取或修改通道配置属性的句柄。 |
| EvtOpenChannelEnum | 获取用于枚举计算机上注册的通道列表的句柄。 |
| EvtOpenEventMetadataEnum | 获取用于枚举提供程序定义的事件列表的句柄。 |
| EvtOpenLog | 获取通道或日志文件的句柄,然后使用该句柄获取有关通道或日志文件的信息。 |
| EvtOpenPublisherEnum | 获取用于枚举计算机上已注册提供程序列表的句柄。 |
| EvtOpenPublisherMetadata | 获取用于读取指定提供程序元数据的句柄。 |
| EvtOpenSession | 建立与远程计算机的连接,在调用其他 Windows 事件日志函数时可以使用该连接。 |
| EvtQuery | 运行查询以从与指定查询条件匹配的通道或日志文件中检索事件。 |
| EvtRender | 根据指定的呈现上下文呈现 XML 片段。 |
| EvtSaveChannelConfig | 保存对通道配置所做的更改。 |
| EvtSeek | 在查询结果集中查找特定事件。 |
| EvtSetChannelConfigProperty | 设置通道的指定配置属性。 |
| EvtSubscribe | 创建一个订阅,该订阅将从与指定查询条件匹配的通道或日志文件接收当前和将来的事件。 |
| EvtUpdateBookmark | 使用标识指定事件的信息汇报书签。 |