当前位置：文江博客话题详情

检测 Windows 中何时记录新事件

发布于 2024-12-07 16:05:38 字数 115 浏览 1 评论 0原文

当 Windows 事件日志中记录新事件时，我将如何在我的应用程序中进行检测。目前，我每 5 分钟运行一个计时器来检查新事件，但如果我可以使用 WMI 或 .net 实时检测新事件，那就更好了，

谢谢

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

始于初秋 2024-12-14 16:05:38

您需要设置 WMI 临时事件使用者< /a> 在您的应用程序中。请注意，要监视
事件日志您需要在 WMI 连接中请求 SeSecurityPrivilege（因为您可能会从安全日志接收需要此权限的事件）

这些是一些示例 WQL 查询：

// See all events:
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'

// Catch only specific events: 4202 is a network transport failure
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
     and TargetInstance.EventCode=4202

// Catch only events from a specific source: in this case WMI itself.
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
     and TargetInstance.SourceName='WinMgmt'

You need to set up a WMI Temporary Event Consumer in your app. Note that to monitor the
Event Log you will need to request the SeSecurityPrivilege in your WMI connection (as it's possible you could receive events from the Security log, which require this permission)

These are some example WQL queries:

// See all events:
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'

// Catch only specific events: 4202 is a network transport failure
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
     and TargetInstance.EventCode=4202

// Catch only events from a specific source: in this case WMI itself.
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
     and TargetInstance.SourceName='WinMgmt'

回复收藏 0 原文

~没有更多了~