Estrutura EVENTLOGRECORD (winnt.h)

Contém informações sobre um registro de evento retornado pela função ReadEventLog .

Sintaxe

typedef struct _EVENTLOGRECORD {
  DWORD Length;
  DWORD Reserved;
  DWORD RecordNumber;
  DWORD TimeGenerated;
  DWORD TimeWritten;
  DWORD EventID;
  WORD  EventType;
  WORD  NumStrings;
  WORD  EventCategory;
  WORD  ReservedFlags;
  DWORD ClosingRecordNumber;
  DWORD StringOffset;
  DWORD UserSidLength;
  DWORD UserSidOffset;
  DWORD DataLength;
  DWORD DataOffset;
} EVENTLOGRECORD, *PEVENTLOGRECORD;

Membros

Length

O tamanho desse registro de evento, em bytes. Observe que esse valor é armazenado nas duas extremidades da entrada para facilitar a movimentação para frente ou para trás por meio do log. O comprimento inclui todos os bytes de teclado inseridos no final do registro para alinhamento DWORD .

Reserved

Um valor DWORD que é sempre definido como ELF_LOG_SIGNATURE (o valor é 0x654c664c), que é ASCII para eLfL.

RecordNumber

O número do registro. Esse valor pode ser usado com o sinalizador EVENTLOG_SEEK_READ na função ReadEventLog para começar a ler em um registro especificado. Para obter mais informações, consulte Registros de Log de Eventos.

TimeGenerated

O momento em que essa entrada foi enviada. Esse tempo é medido no número de segundos decorridos desde 00:00:00 1 de janeiro de 1970, Hora Coordenada Universal.

TimeWritten

O momento em que essa entrada foi recebida pelo serviço a ser gravado no log. Esse tempo é medido no número de segundos decorridos desde 00:00:00 1 de janeiro de 1970, Hora Coordenada Universal.

EventID

O identificador de evento. O valor é específico para a origem do evento e é usado com o nome de origem para localizar uma cadeia de caracteres de descrição no arquivo de mensagem da origem do evento. Para obter mais informações, consulte Identificadores de eventos.

EventType

O tipo do evento. Esse membro pode ser um dos valores a seguir.

Valor Significado
EVENTLOG_ERROR_TYPE
0x0001
Evento de erro
EVENTLOG_AUDIT_FAILURE
0x0010
Evento De auditoria de falha
EVENTLOG_AUDIT_SUCCESS
0x0008
Evento De auditoria de êxito
EVENTLOG_INFORMATION_TYPE
0x0004
Evento de informações
EVENTLOG_WARNING_TYPE
0x0002
Evento de aviso
 

Para obter mais informações, consulte Tipos de eventos.

NumStrings

O número de cadeias de caracteres presentes no log (na posição indicada por StringOffset). Essas cadeias de caracteres são mescladas na mensagem antes de serem exibidas para o usuário.

EventCategory

A categoria deste evento. O significado desse valor depende da origem do evento. Para obter mais informações, consulte Categorias de eventos.

ReservedFlags

Reservado.

ClosingRecordNumber

Reservado.

StringOffset

O deslocamento das cadeias de caracteres de descrição dentro desse registro de log de eventos.

UserSidLength

O tamanho do membro UserSid , em bytes. Esse valor poderá ser zero se nenhum identificador de segurança tiver sido fornecido.

UserSidOffset

O deslocamento do SID (identificador de segurança) dentro desse registro de log de eventos. Para obter o nome de usuário para esse SID, use a função LookupAccountSid .

DataLength

O tamanho dos dados específicos do evento (na posição indicada por DataOffset), em bytes.

DataOffset

O deslocamento das informações específicas do evento dentro desse registro de log de eventos, em bytes. Essas informações podem ser algo específico (um driver de disco pode registrar o número de repetições, por exemplo), seguido por informações binárias específicas para o evento que está sendo registrado e para a origem que gerou a entrada.

Comentários

Os membros definidos são seguidos pelas cadeias de caracteres de substituição para a mensagem identificada pelo identificador de evento, as informações binárias, alguns bytes de teclado para garantir que a entrada completa esteja em um limite DWORD e, por fim, o comprimento da entrada de log novamente. Como as cadeias de caracteres e as informações binárias podem ter qualquer comprimento, nenhum membro da estrutura é definido para referenciá-las. A declaração dessa estrutura em Winnt.h descreve esses membros da seguinte maneira:

    // WCHAR SourceName[]
    // WCHAR Computername[]
    // SID   UserSid
    // WCHAR Strings[]
    // BYTE  Data[]
    // CHAR  Pad[]
    // DWORD Length;

O nome de origem é uma cadeia de caracteres de comprimento variável que especifica o nome da origem do evento. O nome do computador é o nome do computador que gerou o evento. Ele pode ser seguido com alguns bytes de preenchimento para que o SID do usuário esteja alinhado em um limite DWORD . O SID do usuário identifica o usuário ativo no momento em que esse evento foi registrado. Se UserSidLength for zero, esse campo poderá estar vazio.

O identificador de evento junto com o nome de origem e um identificador de idioma identificam uma cadeia de caracteres que descreve o evento com mais detalhes. As cadeias de caracteres são usadas como cadeias de caracteres de substituição e são mescladas na cadeia de caracteres de mensagem para fazer uma mensagem completa. As cadeias de caracteres de mensagem estão contidas em um arquivo de mensagem especificado na entrada de origem no registro. Para obter a cadeia de caracteres de mensagem apropriada do arquivo de mensagem, carregue o arquivo de mensagem com a função LoadLibrary e use a função FormatMessage .

As informações binárias são informações específicas do evento. Pode ser o conteúdo dos registros do processador quando um driver de dispositivo recebe um erro, um despejo de um pacote inválido que foi recebido da rede, um despejo de todas as estruturas em um programa (quando a área de dados foi detectada como corrompida) e assim por diante. Essas informações devem ser úteis para o gravador do driver de dispositivo ou o aplicativo para rastrear bugs ou quebras não autorizadas no aplicativo.

Requisitos

Requisito Valor
Cliente mínimo com suporte Windows 2000 Professional [somente aplicativos da área de trabalho]
Servidor mínimo com suporte Windows 2000 Server [somente aplicativos da área de trabalho]
Cabeçalho winnt.h (inclua Windows.h)

Confira também

Lookupaccountsid

ReadEventLog