我正在尝试使用 ETW 函数但未成功读取文件:
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
为了捕获启动时间事件。
我尝试了各种功能 -
- OpenTrace 给出错误 161
- EvtQuery 给出错误 15000
有没有人有读取系统跟踪文件的本机代码示例?
问问题
2538 次
1 回答
6
我得到这个工作如下 -
LPWSTR pwsPath = L"Microsoft-Windows-Diagnostics-Performance/Operational";
LPWSTR pwsQuery = L"Event/System[EventID=100]";
hResults = EvtQuery(NULL, pwsPath, pwsQuery,
EvtQueryChannelPath | EvtQueryReverseDirection);
可以通过转到事件日志上的属性并使用它的全名来找到通道名称。
错误 15000 是由于我尝试使用给定标志而不是通道名称打开日志文件。
于 2010-11-24T09:29:38.640 回答