事件日志参考
更新:2007 年 11 月
任何计算机上都有三个默认的事件日志:一个 Application 事件日志,一个 Security 事件日志,及一个 System 事件日志。除这些日志外,还可能有由应用程序安装到服务器上的其他日志,以及由用户创建的自定义日志。您需要确定想使用哪一个事件日志。参考一个特定日志的方法取决于您是要读该日志的条目,还是要向其中写入条目。下图说明了参考日志以进行读取或写入操作的全部过程。
事件日志参考
.gif)
参考日志以读取条目
在阅读事件日志中的各项时,请按计算机名和日志名唯一标识所需的日志。“计算机名”表示事件日志所在的服务器,而“日志名”则只是日志的名称。计算机名是可选的;如果不指定计算机名,则假定为本地计算机。
例如,假定您有 EventLog 组件的一个实例,您想用它从一个名为“OrderEntrySystem”的自定义日志中读取项,此日志存储在一个名为“myserver”的服务器上。可通过指定下列内容连接到此日志:
计算机名是“myserver”
日志名是“OrderEntrySystem”
可以通过查询 MachineName 属性来检索日志的计算机名。可通过查询 Log 属性检索日志名。
.gif "安全说明") 安全说明: |
|---|
处理事件日志中的数据的方式,与处理来自系统外部的任何其他输入的方式相同。在将事件日志中的数据用作输入之前,应用程序可能需要对它进行验证。另一进程(可能是恶意进程)可能已访问了事件日志,并添加了项。 |
参考日志以写入条目
如果正向事件日志写入项,则必须指定 Source 属性。Source 属性将您的组件作为有效的项源注册到事件日志。可以将任何字符串指定为 Source 属性的值;不过,以项目名称作为此值会很有帮助。
.gif "说明") 说明: |
|---|
如果该源已注册到此日志,则在写入此日志时就不需要设置日志名属性。也可以不设置计算机名;在这种情况下将假定使用本地计算机。 |
例如,假定您有 EventLog 组件的一个实例,您想用它向一个名为“OrderEntrySystem”的自定义日志中写入项,此日志存储在本地计算机上。假定该源尚未注册,您需要将计算机名指定为“.”,将日志名指定为“OrderEntrySystem”,并将源设置为您选择的字符串,以连接到此日志。
| 说明: |
|---|
在这种情况下,计算机名中的句点表示本地计算机。 |
一个源一次只可以与一个事件日志关联(并因此向一个事件日志中写入条目),但一个事件日志同时可以有多个向其写入的不同的源。这意味着 EventLog 组件的每个实例在配置为与特定源交互时只能写入一个事件日志。如果需要向多个日志中写入,则必须使用不同的实例,或更改现有实例的 Source 属性。有关事件日志源的更多信息,请参见 EventLog 或 EventLog 组件介绍。