如何读取 Windows 7 上的启动时间事件？

发布于 2024-10-02 16:57:08 字数 287 浏览 2 评论 0原文

我尝试使用 ETW 函数但没有成功读取文件：

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx

为了捕获启动时间事件。

我尝试过各种功能 -

OpenTrace 给出错误 161
EvtQuery 给出错误 15000

有没有人有读取系统跟踪文件的本机代码示例？

原文

I am trying to use the ETW functions without success to read the file:

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx

In order to capture boot time events.

I have tried various functions -

OpenTrace gives an error 161
EvtQuery gives an error 15000

Does anyone have a native code example of reading system trace files?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

攒眉千度 2024-10-09 16:57:08

我的工作方式如下 -

LPWSTR pwsPath = L"Microsoft-Windows-Diagnostics-Performance/Operational";
LPWSTR pwsQuery = L"Event/System[EventID=100]";

hResults = EvtQuery(NULL, pwsPath, pwsQuery,
                    EvtQueryChannelPath | EvtQueryReverseDirection);

可以通过转到事件日志上的“属性”并使用它的全名来找到通道名称。

错误 15000 是由于我尝试使用给定的标志而不是通道名称打开日志文件。

I got this working as follows -

LPWSTR pwsPath = L"Microsoft-Windows-Diagnostics-Performance/Operational";
LPWSTR pwsQuery = L"Event/System[EventID=100]";

hResults = EvtQuery(NULL, pwsPath, pwsQuery,
                    EvtQueryChannelPath | EvtQueryReverseDirection);

The channel name can be found by going to Properties on an eventlog and using it's Full Name.

The error 15000 was due to me trying to open the log file with the given flags rather than the channel name.

回复收藏 0 原文

~没有更多了~