我正在使用 Windows API 从 Windows 事件查看器中获取最近的事件。到目前为止一切都很好,但我对如何确定该StringOffset领域感到困惑。我遍历并创建了一个存在于该缓冲区中的字符串数组,但没有与每个字符串关联的上下文。
查看 Windows 事件查看器,我在原始 XML 中看到有一个您在 API 中没有得到的字段名称(至少我不知道)。
<EventData>
<Data Name="ProcessID">4</Data>
<Data Name="Application">System</Data>
<Data Name="Direction">%%14592</Data>
<Data Name="SourceAddress">192.168.22.232</Data>
<Data Name="SourcePort">137</Data>
<Data Name="DestAddress">192.168.22.255</Data>
<Data Name="DestPort">137</Data>
<Data Name="Protocol">17</Data>
<Data Name="FilterRTID">71247</Data>
<Data Name="LayerName">%%14610</Data>
<Data Name="LayerRTID">44</Data>
<Data Name="RemoteUserID">S-1-0-0</Data>
<Data Name="RemoteMachineID">S-1-0-0</Data>
</EventData>
文档从这里开始: