问题标签 [eventlog-source]

我创建了一个自定义事件日志，并希望我的所有应用程序都写入同一个事件日志。正如您在所附图片中看到的，DistributedCOM是Svc Ctrl Mgr2 个源写入同一个事件日志System。

同样，我有 2 个服务要写入同一个 eventLog。我尝试通过创建一个事件日志并从我创建的 2 个 Windows 服务中传递不同的源名称来做到这一点。但是我发现只有一个服务写入日志，而另一个没有。

下面是我为事件日志创建的类库。

创建第一个 Windows 服务

如上所述，还创建了第二个 Windows 服务。

Service1 似乎没有记录任何内容，而我可以看到 Service2 的日志。我可能在这里做错了很多事情。请帮助我找到解决方案。此外，如果这可以通过使用 log4Net 来实现，那么也欢迎相关的解决方案。提前致谢。

编辑：另外，当我尝试停止服务时，服务 1 无法停止并引发错误。图片如下。

编辑 2： 只需如下更改EventLogger类的构造函数，然后它就起作用了！！我不完全确定这是否是功能不正常的实际原因。而且我也不太确定它是否与Log属性的设置有关。你们中的任何人对此提出的任何启示都将不胜感激。我想更好地了解这里到底发生了什么。谢谢。

When I run the code below I get Exception Unhandled System.Security.SecurityException:'Requested registry access is not allowed'. I have all the necessary machine access.

命令行EventCreate.exe工具在注册表中注册用户定义的事件源以供 Windows 事件日志查看器使用，如下所示：

我编写了一个应用程序，它有自己的事件日志资源字符串，并根据 MSDN注册为事件源，但它不使用该CustomSource值并且工作正常。

我在 MSDN 或其他在线网站上找不到任何关于CustomSource确切含义的文档。我机器上的注册源都没有使用它。

有谁知道这CustomSource是什么意思，以及它是如何工作的？它只是内部的东西EventCreate.exe，还是 Windows 事件日志实际上将它用于某些东西？

在尝试让 ETW 活动跟踪在我的项目中工作了很长一段时间但没有取得多大成功之后，我想我应该退后一步，看看这个页面上提供的 Microsoft 演示项目是否对我有用。不幸的是，两者都不是。问题是，这些事件确实显示在 VS 的诊断事件窗口中，但它们有一个普通的 GUID 作为 ActivityID 而不是分层活动 ID，并且 RelatedActivityID 只包含一个空值：

尝试了几个小时后，我发现有一种方法可以让它工作：当我在生成事件的同时使用PerfView收集数据时，它们突然得到了一个他们应该得到的分层 id，甚至有相关的活动标识集：

但是，一旦我停止使用 PerfViewer 收集事件，这些事件再次只有一个活动 ID 的 GUID，并且错过了相关的活动 ID。

有谁知道为什么会这样？这真的只有在外部应用程序正在监视事件时才有效，还是我能以某种方式让它只在 VS 中工作？是否有人可能知道这是否适用于 Azure 诊断？我想稍后使用 Azure 诊断来收听事件，但如果没有以这种方式生成分层 ID，它对我来说没有多大用处。

非常感谢！

我正在尝试使用 System.Diagnostics 中的 EventLog 类读取存储的 .evtx。但它不起作用。

是否可以使用 EventLog 类读取存储的 evtx 文件，或者问题出在哪里？

以下是我的代码

将写入 Windows 事件日志的 Ada 应用程序？我曾尝试在 Ada 中使用系统调用，但它不起作用这是 main.adb

它正在使用包 c_interface.ads

我正在尝试编写一个简单的事件日志，但遇到“System.Security.SecurityException：找不到源...”，我搜索了很多但找不到有效的解决方案，如果有人我真的很感激帮助我，我知道需要创建源并且必须注册密钥，但是密钥是什么，我应该怎么做？

我创建了一个简单的 Windows 服务。
该服务注册一个自定义事件源和日志。
出于测试目的，我将日志命名为“asd”，将源命名为“.asd”。
日志和源都已正确创建，服务已正确安装并且运行良好。
但是无法写入日志。没有错误或异常被抛出，只是没有任何反应。
我用的是eventLog.WriteEntry方法，哪里eventLog是服务System.Diagnostics.EventLog组件的名字。
但是，即使我知道该方法已执行，并且至少没有抛出异常，也没有将任何内容写入所述事件日志，因此我推测它已成功完成。
我尝试通过以管理员身份启动 Powershell 并使用Write-EventLogcmdlet，如果写入应用程序日志（使用适当的源），它工作得很好，但如果我使用它写入自定义“asd”日志，则不会发生任何事情 - 即使在刷新或之后，Windows 的事件查看器中也不会出现任何条目重新启动事件查看器。
尝试重新启动 Windows 事件日志服务，但由于还必须重新启动任务计划程序服务而失败，内置管理员帐户无法访问该服务，因为我使用的是 Windows 7，而且它很愚蠢。

我能够在几个版本前写入自定义事件日志，但恢复没有修复任何问题，而且我没有进行任何与此相关的更改。

任何我无法写入该日志的帮助或想法将不胜感激！

是否可以使用 Visual Studio 中的 System.Diagnostics.EventLog 类解析导出或保存的 .evtx 文件并获取 Windows 10 事件日志的相关信息（Xml 详细信息）。

我需要开发一个可以提取取证相关事件日志信息的工具。如果不是，有哪些替代方案？

我是本地机器上的管理员。但是，我正在创建的应用程序（Outlook VSTO 插件）将由部署管理员部署给没有管理员权限的用户。

该应用程序安装正确。

我的问题是我有代码可以检查EventLog.SourceExists("my VSTO addin"). 如果没有，它会EventLog.CreateEventSource("my VSTO addin")。

我的问题：

1. 我真的需要创建事件源吗？在没有源的情况下它仍然会记录吗？
2. 我应该如何创建事件源（如果需要#1）？

2a 也许我需要创建一个创建事件源的小应用程序，并且需要由管理员安装？

2b 也许我可以将它放在安装时将调用的代码中？（我正在使用安装屏蔽）

2c 也许它可以由管理员作为组策略的一部分来完成？

2d 我可以根据https://docs.microsoft.com/en-us/windows/desktop/EventLog/event-sources创建一个注册表项