Articles of 事件日志

如何打印电脑唤醒源?

我想从事件查看器(Windows 10)打印唤醒源。 有没有一种方法可以访问事件查看器 – >系统日志,search: Source: Microsoft-Windows-Power-Troubleshooter最新事件,parsing事件消息并打印唤醒源? 这是一个事件日志的例子: Index : 2841 EntryType : Information InstanceId : 1 Message : The system has resumed from sleep. Sleep Time: 2010-10-01T19:19:37.239789600Z Wake Time: 2010-10-01T21:28:48.921200800Z Wake Source: 4HID Keyboard Device Category : (0) CategoryNumber : 0 Source : Microsoft-Windows-Power-Troubleshooter

使用C#在Windows事件查看器中创build文件夹

在我目前的安装程序中,我正在为每个应用程序版本创build事件日志。 这样做有很多为每个版本创build的事件。 search正确的事件日志对于客户来说有点困难。 所以我想做一些像微软那样的事情。 我想创build一个主要文件夹与我公司的名称,并在其中的主要版本的文件夹`样品:ABC公司 App 4.0 all event logs App 5.0 all event logs` 像在图像Microsoft-> Windows中

以编程方式获取上次启动/关机时间

我想知道closures和启动Windows的确切时间。 在c + +中,我只是简单地使用GetTickCount64 ,它检索自从系统启动以来已经过去的毫秒数(因此通过差异来获得时间),但是我不知道是否存在用于python的等效函数,并且如果可能的话,我想避免写一个C ++模块。 对于上次关机时间,我不知道…也许有一些日志在Windows的某个地方? 我尝试使用win32evtlog库来读取事件日志,但它给了我一个事件,是关于dns .. 编辑:好吧,也许我更进一步:我使用win32evtlog,特别是调用ReadEvent日志更多的时间它给我所有的日志,直到它返回null。 现在,我需要一种方法来了解什么是启动/关机ID。

如何找出EventProperty的名字?

我的C#应用​​程序订阅Windows事件日志消息: var subscriptionQuery = new EventLogQuery(Settings.Default.LogPath, PathType.LogName, Settings.Default.LogQuery); _watcher = new EventLogWatcher(subscriptionQuery); _watcher.EventRecordWritten += EventLogEventRead; 当消息发生时EventLogEventRead处理程序重新设置一个包含事件数据的System.Diagnostics.Eventing.Reader.EventLogRecord对象。 此信息包括EventProperty对象的集合。 问题是: EventProperty只定义一个值,而不是属性的名称。 但是,当我在Windows事件日志查看器中打开相同的事件时,它显示具有名称的属性。 现在的问题是:我如何获得事件propery名称?

.NET是否支持Windows Eventing 6.0?

我想从C#应用程序中使用Windows Eventing 6 API将消息logging到Windows Server 2008事件日志中的特定通道。 有一个很好的例子,如何使用它,但它只是C ++。 在这个例子中提到.NET不支持Windows Eventing 6.在http://msdn.microsoft.com/en-us/magazine/cc163431.aspx中有两个例子, http : //msdn.microsoft.com /en-us/library/aa382690(VS.85).aspx 我的问题是如何在C#中做到这一点,或者你知道是否有这个API的.Net支持。

一个进程可以通过不同的用户名(这两个进程运行在不同的用户名下)发出另一个进程创build的事件吗

在Windows 7中发生: 我已经安装进程proc1.exe作为service.In proc1中,我创build新的进程proc2.exe通过创build会话ID和令牌,并传递给CreateProcessAsUser()。 在Proc2中,我正在创build一个正在等待信号的事件。 在Proc1中,当我停止服务时,通过OpenEvent和SetEvent发送信号给该事件。 如果我启动服务,proc1.exe在SYSTEM用户名下运行,并且proc2.exe在login用户名(Taskmanager)下运行。 当我停止服务时,Proc1正试图通过调用OpenEvent来发送信号。 但是OpenEvent返回NULL。 两个进程都在不同的用户下运行。 访问该事件是否是一个问题? 如果是这样,如何在不同的过程和用户​​下发出事件信号? 请帮我找出答案

PowerShell事件日志xml xpathselect不工作

任何人都可以告诉我为什么下面的select不起作用? 我没有得到错误。 他们什么都没有回报。 下面的xml是转换为xml的实际事件日志项目。 我只改变了一些值,以确保私人信息不会在这篇文章中。 $Str表示单个事件日志项目的输出。 即$event.ToXml() 。 $str = @" <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2014-06-05T12:41:42.490143500Z" /> <EventRecordID>425650</EventRecordID> <Correlation /> <Execution ProcessID="636" ThreadID="2084" /> <Channel>Security</Channel> <Computer>SERVERHOSTNAME.some.domain.here</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-x-xx</Data> <Data Name="TargetUserName">SERVERHOSTNAME$</Data> <Data Name="TargetDomainName">TESTDOM</Data> <Data […]

查看第三方DLL中的可用消息string(来自mc.exe)

有没有办法查看DLL中可用的所有消息(即由mc.exe消息编译器为FormatMessage创build的消息)? 看起来它们是作为types11的单个资源添加的。不幸的是,资源是二进制的。

Windows事件日志 – 事件ID 0

我有一个使用EventLog进行日志logging的Windows服务应用程序。 在应用程序安装程序中,我运行: eventcreate /L APPLICATION /SO "My App" /T SUCCESS /id 1 /D "Initialised Log" 然后在C#中的应用程序logging器中,我执行: EventLog.WriteEntry(message, EventLogEntryType.Error, 1, 0, details); 但是,当我在应用程序事件日志看,除了我的事件,我看到EventID 0的条目。我不能使用eventcreate创build一个ID = 0条目(说ID必须> = 1)。 那么创build这些事件是什么? 有没有什么办法阻止事件日志抱怨损坏的安装? 一个例子说: 活动中包含以下信息: 服务已成功启动。 消息资源存在但消息在string/消息表中找不到

如何设置Powershell用于过滤EventLog的对象

在交互模式下,这是有效的: Get-Eventlog -log application -after ((get-date).addMinutes(-360)) -EntryType Error 现在我想过滤掉某些消息,下面没有过滤所需的单词: Get-Eventlog -log application -after ((get-date).addMinutes(-360)) -EntryType Error | where-object {$_.$Message -notlike "*Monitis*"} 另外,我如何在多个条件的对象? 在我的脚本中,我得到的错误和声明: $getEventLog = Get-Eventlog -log application -after ((get-date).addMinutes($minutes*-1)) -EntryType Error # list of events to exclude $getEventLogFiltered = $getEventLog | where-object {$_.Message -notlike "Monitis*" -and $_.Message -notlike "*MQQueueDepthMonitor.exe*" } $tableFragment = $getEventLogFiltered | […]