使用 GetFileSizeEx 获取不正确的句柄作为错误

Question

我的目标是使用 c++ 查找 (%SystemRoot%\System32\winevt\logs) 中存在的日志文件的大小（例如：获取 Application.evtx 的文件大小）。我尝试使用 GetFileSizeEx (https://learn .microsoft.com/fr-fr/windows/win32/api/fileapi/nf-fileapi-getfilesizeex) 方法，但我收到错误，例如传递了错误的句柄。将三个句柄 (EvtQuery、EvtGetChannelConfigProperty、OpenEventLog) 传递给 GetFileSizeEx 但我收到相同的错误。我可以知道应该传递什么句柄来获取大小：

找到类似的问题（如何使用 EvtQuery 函数查找日志文件的大小？）。尝试了这个，但我得到了无效的句柄作为 GetFileSizeEx 的错误。

Answer 1

默认文件位置是 C:\Windows\System32\winevt\Logs

应用程序日志称为 Application.evtx

如果您想获取其大小

#include <iostream>
#include <filesystem>

int main() {

    std::filesystem::path example = "C:\\Windows\\System32\\winevt\\Logs\\Application.evtx";
    std::cout << example << " size = " << std::filesystem::file_size(example) << '\n';
}

，请执行以下 操作：确保获得正确的位置，因为管理员可以移动它，然后在注册表中查找

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\File

以获取文件名

Answer 2

根据文档：GetFileSizeEx 函数

该句柄必须是使用 FILE_READ_ATTRIBUTES 访问权限创建的
权利或同等权利，或者调用者必须拥有足够的许可
包含该文件的目录。

是否检查过打开文件的结果来获取文件句柄？如果文件无法打开，则说明您使用无效句柄调用 GetFileSizeEx。