ReadEventLogA 函式（winbase.h）

發行項
11/20/2024

從指定的事件記錄檔讀取指定的項目數目。函式可用來以時間順序或反向時間順序讀取記錄專案。

語法

BOOL ReadEventLogA(
  [in]  HANDLE hEventLog,
  [in]  DWORD  dwReadFlags,
  [in]  DWORD  dwRecordOffset,
  [out] LPVOID lpBuffer,
  [in]  DWORD  nNumberOfBytesToRead,
  [out] DWORD  *pnBytesRead,
  [out] DWORD  *pnMinNumberOfBytesNeeded
);

參數

[in] hEventLog

要讀取之事件記錄檔的句柄。 OpenEventLog 函式會傳回此句柄。

[in] dwReadFlags

使用下列旗標值來指出如何讀取記錄檔。此參數必須包含下列其中一個值（旗標互斥）。

價值	意義
EVENTLOG_SEEK_READ 0x0002	從 dwRecordOffset 參數中指定的記錄開始讀取。如果函式無法判斷記錄檔的大小，此選項可能無法使用大型記錄檔。如需詳細資訊，請參閱知識庫文章，177199。
EVENTLOG_SEQUENTIAL_READ 0x0001	循序讀取記錄。如果這是第一個讀取作業，則EVENTLOG_FORWARDS_READ EVENTLOG_BACKWARDS_READ旗標會決定第一筆讀取的記錄。

您必須指定下列其中一個旗標，以指出後續讀取作業的方向（旗標互斥）。

價值	意義
EVENTLOG_FORWARDS_READ 0x0004	記錄是以時間順序讀取（最舊到最新）。預設值。
EVENTLOG_BACKWARDS_READ 0x0008	記錄是以反向時間順序讀取（最舊到最舊）。

[in] dwRecordOffset

讀取作業應該啟動的記錄項目記錄編號。除非 dwReadFlags 包含 EVENTLOG_SEEK_READ 旗標，否則會忽略此參數。

[out] lpBuffer

應用程式配置的緩衝區，將接收一或多個 EVENTLOGRECORD 結構。 即使 nNumberOfBytesToRead 參數為零，這個參數也無法 NULL。

此緩衝區的大小上限為0x7ffff個字節。

[in] nNumberOfBytesToRead

lpBuffer 緩衝區的大小，以位元組為單位。此函式會讀取與緩衝區中容納的記錄項目數一樣多;函式不會傳回部分專案。

[out] pnBytesRead

變數的指標，可接收函式所讀取的位元組數目。

[out] pnMinNumberOfBytesNeeded

接收 lpBuffer 緩衝區所需大小的變數指標。只有當此函式傳回零且 getLastError 傳回 ERROR_INSUFFICIENT_BUFFER時，這個值才有效。

傳回值

如果函式成功，則傳回值為非零值。

如果函式失敗，傳回值為零。若要取得擴充的錯誤資訊，請呼叫 GetLastError。

言論

當此函式成功傳回時，事件記錄檔中的讀取位置會依讀取的記錄數目進行調整。

附註此來源的已設定檔名也可能是其他來源的已設定檔名（數個來源可以作為單一記錄檔下的子機碼存在）。因此，此函式可能會傳回多個來源所記錄的事件。

例子

如需範例，請參閱查詢事件資訊。

注意

winbase.h 標頭會將 ReadEventLog 定義為別名，根據 UNICODE 預處理器常數的定義，自動選取此函式的 ANSI 或 Unicode 版本。混合使用編碼中性別名與非編碼中性的程序代碼，可能會導致編譯或運行時間錯誤不符。如需詳細資訊，請參閱函式原型的慣例。

要求

要求	價值
最低支援的用戶端	Windows 2000 Professional [僅限傳統型應用程式]
支援的最低伺服器	Windows 2000 Server [僅限傳統型應用程式]
目標平臺	窗戶
標頭	winbase.h （包括 Windows.h）
連結庫	Advapi32.lib
DLL	Advapi32.dll
API 集	ext-ms-win-advapi32-eventlog-ansi-l1-1-0 （在 Windows 10 版本 10.0.10240 中引進）