如何导出Windows系统和应用程序事件日志？

Question

如何导出Windows系统和应用程序事件日志？

使用该EvtExportLog函数，我目前无法为Pathand / or Query参数指定正确的值。

我的目标是导出本地应用程序和系统事件日志。

我试过了：

EvtExportLog(
    IntPtr.Zero, 
    "Application", 
    "*", 
    "C:\\SomePath\\Application.evtx", 
    EventExportLogFlags.LogFilePath);

Run Code Online (Sandbox Code Playgroud)

具有以下P / Invoke定义：

[Flags]
private enum EventExportLogFlags
{
    ChannelPath = 1,
    LogFilePath = 2,
    TolerateQueryErrors = 0x1000
};

[DllImport(@"wevtapi.dll", 
    CallingConvention = CallingConvention.Winapi,
    CharSet = CharSet.Auto,
    SetLastError = true)]
private static extern bool EvtExportLog(
    IntPtr sessionHandle,
    string path,
    string query,
    string targetPath,
    [MarshalAs(UnmanagedType.I4)] EventExportLogFlags flags);

Run Code Online (Sandbox Code Playgroud)

不幸的是，该函数返回false并且最后一个错误代码为2（ERROR_FILE_NOT_FOUND）。

我的问题：

要在Path和Query参数中输入什么以导出本地应用程序和系统事件日志？

Answer 1

Uwe*_*eim 5

要回答我自己的问题：

我的Path，Query实际上是正确的。错误的是Flags参数。

除了指定EventExportLogFlags.LogFilePath参数外，我还必须指定EventExportLogFlags.ChannelPath参数。

然后导出成功：

EvtExportLog(
    IntPtr.Zero, 
    "Application", 
    "*", 
    "C:\\SomePath\\Application.evtx", 
    EventExportLogFlags.ChannelPath); // <-- HERE!

Run Code Online (Sandbox Code Playgroud)

归档时间：	10 年，8 月前
查看次数：	1480 次
最近记录：	6 年，4 月前