问题标签 [event-viewer]

我正在调试一个用 C++ 为 Internet Explorer 编写的浏览器帮助器对象。我正在使用 IE 9 和 Windows 7。我正在尝试使用 logEventLogMessage() 发送调试消息 - 如果我理解这一点 - 应该出现在 Windows 事件查看器的某处。但他们从不这样做。谁能告诉我我必须做什么才能看到这些日志消息？

编辑：前两个回复让我思考了一下，我正在将问题从“如何在 Windows 7 中打开 Internet Explorer 9 事件日志记录？” 到“如何从用 C++ 编写的 IE 浏览器帮助程序对象记录调试消息？在 Windows XP-7 中”

我继承了一些只使用 logError() 的代码，但它似乎不起作用。

我想完成类似的事情：

我知道 insertString 是一个字符串数组。所以我不确定如何使用 WQL 访问它的值。

我正在开发一个 LOB（侧面加载）应用程序，我需要记录事件、崩溃到 ETW（事件查看器日志）。我看到大多数人建议编写自己的文件 IO 包装器。

在 Windows 8.1 中，我们在“Windows.Foundation.Diagnostics”中有新的日志记录功能，其中包含“LoggingChannel”和“LoggingSession”类。但是他们的代码示例仍然作为文件写入隔离的本地存储：

http://code.msdn.microsoft.com/windowsapps/LoggingSession-Sample-ccd52336

此外，早于 8.1，我们有“EventSource”和“EventListener”，并且根据示例项目（http://code.msdn.microsoft.com/windowsapps/Logging-Sample-for-Windows-0b9dffd7/sourcecode?fileId= 67472&pathId=1214683397），它还作为文件写入示例隔离存储。

所以，我的问题是：

1. 我们可以利用新的“Windows.Foundation.Diagnostics”类写入 ETW 吗？

2. ("LoggingChannel" 和 "LoggingSession") 最终是否等同于 ("EventSource" 和 "EventListener")？

3. 我还需要编写 C++ 组件来写入 ETW 吗？

微软论坛刚刚给出了这个答案：它没有考虑到这样的事情。

我还尝试使用 PInvoke 来使用 EventRegister、EventWrite C++ 函数。代码运行，但我不知道在哪里找到日志。EventRegister 仅将 GUID 作为输入，我不知道它是否可以映射到 EventViewer 应用程序。

Event Viewer/Applications and Services Logs/Microsoft/Windows/Operational/EnableIIS 7.5 通过更改日志中的设置来支持 IIS 配置更改审核。

我通过事件查看器进行了尝试，效果很好。
但我需要的不是使用事件查看器手动执行此操作。

相反，我需要通过 API 在 C# 中以编程方式实现这一点 - 一个用于对上述事件查看器属性（不是 IIS 属性）进行编程的 API，以便我可以启用日志记录。

那可能吗？

如果是这样，怎么做？

非常感谢任何帮助。

我有一个必须在 Windows 事件查看器中写入信息的服务应用程序。碰巧它有一个西班牙语版本，并且需要在文本中包含拉丁字符，因此当信息写入偶数查看器时，它显示不正确。我的 .mc 文件如下：

显示信息时，例如信息事件，拉丁字符显示不正确：

如果有人遇到这个问题并且可以帮助我，谢谢。

我在作为服务运行的程序中使用 Windows EvtSubscribe API，通常在 Windows Server 2008 R2 域控制器上。它注册了 kerberos 登录事件，其目的是为我在网络上的应用程序提供单点登录。

我从登录事件中获取用户名/IP 并使用它们来预验证 IP 地址。这在大量站点中运行良好，直到最近在一个非常大的站点上使用（全天有 60,000 名用户登录和注销）。据我从进程监视器中得知，域控制器的负载并不高，但事件并没有立即传递给我的应用程序，它们可能会延迟 20 分钟到一个小时。

我使用 API 中描述的 PUSH 方法。代码是相同的。

在事件查看器中，查看安全日志，当用户登录到域时，登录事件会立即出现。但是，直到很久很久以后，该事件才被推送到我的应用程序中。

我从未在安装了我的应用程序的任何其他站点上看到过这种情况，我想知道这是否是服务器本身的配置问题。有延迟的站点总共有 4 个集群域控制器，我的应用程序在每个域控制器上运行和报告。所有 4 人在接收事件时都会定期经历长时间的延迟。

有没有其他人遇到过类似的事情或有任何想法可以发挥作用？

我尝试使用 VM 和 ADTest 复制它以生成负载，但运气不佳。

快疯了！！！！

我需要一个循环来根据 EVENTID 计算 eventViewer 中的条目。我可以使用以下代码计算 eventViewer 中的总条目：

但是我还不能计算所有带有 eventID = 17137 的条目，例如（SQL 事件）。请帮忙！！

乙

我有 3 个域控制器转发事件和 1 个收集器从这 3 个源机器收集安全事件，它们都在同一个域上。

但是重新启动 Windows 事件收集器后，我转到收集器机器 -> 事件查看器 -> 订阅 -> 右键单击​​订阅的名称 -> 选择运行时状态，我将看到所有这 3 台源机器都处于非活动状态。

我不知道如何立即启动它们，尽管我仍然有一些客户端机器生成事件并发送到这 3 个 DC。但它们最终会打开，比如半小时后。

我想从 EventViewer 中消除这种多余的噪音。我在 Windows XP 上运行。我不断得到：

找不到源 (SCardSvr) 中事件 ID (2) 的描述。本地计算机可能没有必要的注册表信息或消息 DLL 文件来显示来自远程计算机的消息。您可以使用 /AUXSOURCE= 标志来检索此描述；有关详细信息，请参阅帮助和支持。以下信息是事件的一部分：scredir.dll，找不到指定的模块。(0x8007007E)。

我已经从 system32 中删除了所有智能卡 dll 和 exe。我还在注册表中搜索了scardsvr 和scredir.dll，并确保没有引用。然而，我系统中的某些东西仍然坚持用这些消息淹没我的事件查看器。我怎样才能找到把这个垃圾塞进去的源 dll 或 exe？是否有明确的方法来跟踪负责的源可执行“文件”？在我的系统的某个地方，我知道仍然有对字符串 SCardSvr" 的引用。我知道这是因为当我启动事件查看器 GUI 时，右键单击应用程序节点，然后在字段上选择视图、过滤器... “事件源：”，列表中的枚举之一是 SCardSvr，因此在该操作系统的内部某处，仍有一些东西在引用此字符串。此事件查看器列表包含在哪里？什么文件？

我一直在尝试使用 Active Directory 凭据连接到 Web 服务，在服务器端，这是事件查看器显示的内容：

我能够通过浏览器使用相同的凭据进行身份验证和发送成功的请求，但无法使用客户端执行此操作。根据事件日志，我正在发送“未知用户名或密码错误”，但这与我用于通过浏览器测试 Web 服务的信息相同。

我正在尝试使用 NTLM 身份验证发送这些请求；有没有办法知道我是否应该使用 NTLMv1、NTLMv2、Kerberos 或其他类型的身份验证？