3

我在 C# 控制台应用程序和 C# Windows 服务中都有以下代码。它适用于控制台应用程序。它拾取指定的事件,并正确调用 MatchEvent()。C# windows 服务中的相同代码不会获取相同的指定事件,它永远不会看到它,但会看到其他事件。有问题的事件被写入应用程序日志,因此我不尝试读取安全日志。

我认为这是一个帐户权限问题(该服务作为 LocalSystem 运行)。我将服务更改为使用与运行控制台应用程序相同的帐户,但我仍然看到相同的行为。我确认没有使用 GP 或自定义注册表来更改权限(这是一个全新安装的操作系统),并且两个应用程序使用的帐户都是本地管理员。

有什么我想念的吗?我也研究了 EventLogPermission,但这似乎并不适用,因为我正在从 eventLog 中获取事件。

编码:

private void WatchLogs()
{
    try
    {
        _eventLogs = EventLog.GetEventLogs();

        foreach (EventLog eventLog in _eventLogs)
        {
            if (eventLog.LogDisplayName.Contains("Security"))
            {
                _logger.DebugFormat(string.Format("{0}: not watching", eventLog.LogDisplayName));
            }
            else
            {
                eventLog.EntryWritten += EventLogEntryWritten;
                eventLog.EnableRaisingEvents = true;

                if (_logger.IsInfoEnabled)
                {
                    _logger.InfoFormat("Monitoring: {0} | Raising Events: {1}", eventLog.LogDisplayName,
                                       eventLog.EnableRaisingEvents);
                }
            }
        }
    }
    catch (Win32Exception ee)
    {
        _logger.DebugFormat(string.Format("{0}: not watching({1})", eventLog.LogDisplayName, ee.Message));
    }
    catch (SecurityException securityException)
    {
        _logger.ErrorFormat("Error accessing eventlog: {0} : {1}", eventLog.LogDisplayName, securityException.Message);
    }
}

private void EventLogEntryWritten(object sender, EntryWrittenEventArgs currentEvent)
{
  var log = (EventLog) sender;

  if (_logger.IsDebugEnabled)
    _logger.DebugFormat(
      "Event Raised: |Log:{0}|Source:{1}|EventID:{2}|",log.LogDisplayName,
        currentEvent.Entry.Source,currentEvent.Entry.EventID);

  MatchEvent(currentEvent);
}
4

2 回答 2

0

断断续续地玩弄这个。尽管我仍然不能 100% 确定,但似乎正在发生以下情况:

  • 这些事件是集群事件,因此可以从任一节点写入本地系统,但 EventLog 类仅获取本地写入的事件。
  • 仅当最后一次写入事件至少发生 6 秒时,系统才会响应 WriteEntry() 方法。我正在寻找的事件发生在几秒钟内,并且被其他相关但不重要的事件所淹没。

对此的任何确认都会有所帮助。在此处获得的信息:msdn

于 2009-05-15T20:00:57.507 回答
0

是的,如果事件发生在轮询间隔内,您会错过事件。您可以使用 WMI(通过 System.Management)来更改轮询间隔。 是一篇较旧的文章,但它将为您提供执行此操作所需的信息。请参阅管理事件部分。

您还需要在单独的线程上执行 WriteEntry(如果您也正在写入事件日志),因此您不会阻止接收事件。

于 2009-05-18T06:32:27.917 回答