事件日志方案
System.Diagnostics.Eventing.Reader 命名空间类使您能够读取和管理事件日志。此主题说明使用这些类的一些常见方案。
方案 1:在事件日志或跟踪日志中查询事件
请参阅如何:查询事件中的代码。
可以使用基于 XPath 的查询在活动的事件日志(通道)、存档事件日志或跟踪日志中查询事件。这允许只访问包含您感兴趣的特定属性值的事件。查询将筛选事件日志中的事件并返回符合查询条件的事件。
从查询结果中得到事件后,就可以访问和显示事件的属性(如事件说明、事件级别和事件标识符)。
也可以查询远程计算机上的事件以监视远程计算机的运行状况。
方案 2:订阅事件日志中的事件
请参阅如何:订阅事件日志中的事件中的代码。
可以创建订阅事件日志中的事件的应用程序,以便在特定事件发布到事件日志时向该应用程序发出警报。这些类型的应用程序通常用于监视系统的运行状况或性能以及在出现某个事件时触发特定操作。通过指定基于 XPath 的事件查询指定要订阅的事件。
方案 3:访问和读取事件信息
请参阅如何:访问和读取事件信息中的代码。
通过查询或订阅日志中的事件从事件日志中获取事件实例后,即可读取该事件的属性值。也可以读取和显示事件的 XML 表示,其中包含 XML 元素中的事件属性值。可以访问和读取的事件属性包括事件说明、事件标识符、事件的严重性级别以及事件提供程序发布的自定义数据。
方案 4:配置和读取事件日志属性
请参阅如何:配置和读取事件日志属性中的代码。
通过获取和设置日志的配置属性,可以访问和更改与事件日志关联的信息(元数据)。这允许您读取和管理属性,如事件日志的大小和定义可以查询和写入事件日志的用户的安全描述符。
方案 5:检索有关事件发布程序的信息
请参阅如何:检索有关事件提供程序的信息中的代码。
可以访问有关事件发布程序的静态信息,以查找有关该发布程序发布的事件的信息。例如,可以获取发布程序名称、发布程序中定义的事件集合以及事件发布程序的资源文件的路径。
方案 6:导出、存档(保存事件)和清除事件日志
请参阅如何:导出、存档和清除事件日志中的代码。
可以将事件日志中的事件保存到以后可以查询的文件中。这样就可以存档事件或将事件保存到文件中,使得技术支持人员或工具可以查看该文件。在文件中保存事件时可以包含事件消息也可以不包含事件消息。
还可以从事件日志中清除(删除)特定事件或所有事件。清除的事件可以保存在外部文件(扩展名为 .evtx)中。
方案 7:侦听事件并将其存储在 SQL 数据库中以供挖掘
可以将事件日志中的事件保存到以后可以挖掘的 SQL 数据库中。使用书签从示例上次运行的停止点继续读取事件。
.gif)
版权所有 (C) 2007 Microsoft Corporation。保留所有权利。