如何在Windows 7上阅读启动时事件？

Question

我试图使用ETW函数没有成功读取文件C:\ Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx以捕获启动时事件.我尝试了各种功能 -

• OpenTrace给出错误161
• EvtQuery给出错误15000

有没有人有一个读取系统跟踪文件的本机代码示例？

Answer 1

我的工作如下 -

LPWSTR pwsPath = L"Microsoft-Windows-Diagnostics-Performance/Operational";
LPWSTR pwsQuery = L"Event/System[EventID=100]";

hResults = EvtQuery(NULL, pwsPath, pwsQuery,
                    EvtQueryChannelPath | EvtQueryReverseDirection);

可以通过转到事件日志上的"属性"并使用其全名来找到通道名称.

错误15000是由于我尝试使用给定的标志而不是通道名称打开日志文件.