Struttura EVENTLOGRECORD (winnt.h)

  • Articolo

Contiene informazioni su un record di eventi restituito dalla funzione ReadEventLog .

Sintassi

typedef struct _EVENTLOGRECORD {
  DWORD Length;
  DWORD Reserved;
  DWORD RecordNumber;
  DWORD TimeGenerated;
  DWORD TimeWritten;
  DWORD EventID;
  WORD  EventType;
  WORD  NumStrings;
  WORD  EventCategory;
  WORD  ReservedFlags;
  DWORD ClosingRecordNumber;
  DWORD StringOffset;
  DWORD UserSidLength;
  DWORD UserSidOffset;
  DWORD DataLength;
  DWORD DataOffset;
} EVENTLOGRECORD, *PEVENTLOGRECORD;

Members

Length

Dimensioni di questo record evento, in byte. Si noti che questo valore viene archiviato a entrambe le estremità della voce per semplificare lo spostamento avanti o indietro attraverso il log. La lunghezza include tutti i byte del pad inseriti alla fine del record per l'allineamento DWORD .

Reserved

Valore DWORD sempre impostato su ELF_LOG_SIGNATURE (il valore è 0x654c664c ), ovvero ASCII per eLfL.

RecordNumber

Numero del record. Questo valore può essere usato con il flag EVENTLOG_SEEK_READ nella funzione ReadEventLog per iniziare a leggere in un record specificato. Per altre informazioni, vedere Record log eventi.

TimeGenerated

Ora in cui è stata inviata questa voce. Questa ora viene misurata nel numero di secondi trascorsi dalle 00:00:00:00 gennaio 1970, Ora coordinata universale.

TimeWritten

Ora in cui questa voce è stata ricevuta dal servizio da scrivere nel log. Questa ora viene misurata nel numero di secondi trascorsi dalle 00:00:00:00 gennaio 1970, Ora coordinata universale.

EventID

Identificatore dell'evento. Il valore è specifico dell'origine evento per l'evento e viene usato con il nome di origine per individuare una stringa di descrizione nel file di messaggio per l'origine evento. Per altre informazioni, vedere Identificatori di evento.

EventType

Tipo di evento. Questo membro può essere uno dei valori seguenti.

Valore Significato
EVENTLOG_ERROR_TYPE
0x0001
 Evento di errore
EVENTLOG_AUDIT_FAILURE
0x0010
 Evento Audit degli errori
EVENTLOG_AUDIT_SUCCESS
0x0008
 Evento Controllo esito positivo
EVENTLOG_INFORMATION_TYPE
0x0004
 Evento informativo
EVENTLOG_WARNING_TYPE
0x0002
 Evento di avviso
 

Per altre informazioni, vedere Tipi di eventi.

NumStrings

Numero di stringhe presenti nel log (nella posizione indicata da StringOffset). Queste stringhe vengono unite al messaggio prima che venga visualizzato all'utente.

EventCategory

Categoria per questo evento. Il significato di questo valore dipende dall'origine evento. Per altre informazioni, vedere Categorie di eventi.

ReservedFlags

Riservato.

ClosingRecordNumber

Riservato.

StringOffset

Offset delle stringhe di descrizione all'interno del record del log eventi.

UserSidLength

Dimensioni del membro UserSid , in byte. Questo valore può essere zero se non è stato specificato alcun identificatore di sicurezza.

UserSidOffset

Offset dell'identificatore di sicurezza (SID) all'interno del record del registro eventi. Per ottenere il nome utente per questo SID, usare la funzione LookupAccountSid .

DataLength

Dimensioni dei dati specifici dell'evento (in corrispondenza della posizione indicata da DataOffset), in byte.

DataOffset

Offset delle informazioni specifiche dell'evento all'interno del record del log eventi, in byte. Queste informazioni potrebbero essere specifiche (un driver su disco potrebbe registrare il numero di tentativi, ad esempio), seguito da informazioni binarie specifiche per l'evento registrato e all'origine che ha generato la voce.

Commenti

I membri definiti sono seguiti dalle stringhe di sostituzione per il messaggio identificato dall'identificatore dell'evento, dalle informazioni binarie, da alcuni byte di pad per assicurarsi che la voce completa si trovi in un limite DWORD e infine la lunghezza della voce di log. Poiché le stringhe e le informazioni binarie possono essere di qualsiasi lunghezza, non vengono definiti membri della struttura per farvi riferimento. La dichiarazione di questa struttura in Winnt.h descrive questi membri come indicato di seguito:

    // WCHAR SourceName[]
    // WCHAR Computername[]
    // SID   UserSid
    // WCHAR Strings[]
    // BYTE  Data[]
    // CHAR  Pad[]
    // DWORD Length;

Il nome di origine è una stringa di lunghezza variabile che specifica il nome dell'origine evento. Il nome del computer è il nome del computer che ha generato l'evento. Può essere seguito con alcuni byte di riempimento in modo che l'utente SID sia allineato a un limite DWORD . L'utente SID identifica l'utente attivo al momento della registrazione di questo evento. Se UserSidLength è zero, questo campo può essere vuoto.

L'identificatore di evento insieme al nome di origine e a un identificatore di lingua identifica una stringa che descrive l'evento in modo più dettagliato. Le stringhe vengono usate come stringhe sostitutive e vengono unite nella stringa del messaggio per rendere un messaggio completo. Le stringhe di messaggio sono contenute in un file di messaggio specificato nella voce di origine nel Registro di sistema. Per ottenere la stringa di messaggio appropriata dal file di messaggio, caricare il file di messaggio con la funzione LoadLibrary e usare la funzione FormatMessage .

Le informazioni binarie sono informazioni specifiche dell'evento. Potrebbe essere il contenuto del processore registra quando un driver di dispositivo ha ricevuto un errore, un dump di un pacchetto non valido ricevuto dalla rete, un dump di tutte le strutture in un programma (quando l'area dati è stata rilevata per essere danneggiata) e così via. Queste informazioni devono essere utili per il writer del driver di dispositivo o l'applicazione nel rilevamento di bug o interruzioni non autorizzate nell'applicazione.

Requisiti

Requisito Valore
Client minimo supportato Windows 2000 Professional [solo app desktop]
Server minimo supportato Windows 2000 Server [solo app desktop]
Intestazione winnt.h (includere Windows.h)

Vedi anche

Lookupaccountsid

ReadEventLog