2. 程式人生 > >讀取系統日誌eventlog記錄

讀取系統日誌eventlog記錄

阿新 發佈:2019-01-27

檢視系統日誌的執行程式:eventvwr.msc

方法一   用API讀取

void DisplayEntries()
{
    char *tempBuf=new char[100];
    memset(tempBuf,0,100);
	HANDLE h;
    EVENTLOGRECORD *pevlr; 
    TCHAR bBuffer[4096] = {0}; 
 
    DWORD dwRead, dwNeeded, cRecords, dwThisRecord = 0; 
 
    // Open the Application event log. 
     /*Windows 日誌:
     應用程式          對應於OpenEventLog(NULL,"Application")
     安全              對應於OpenEventLog(NULL,"Security")
     setup
     系統              對應於OpenEventLog(NULL,"System")*/
 
    h = OpenEventLog( NULL,   /*use local computer*/  _T("System"));   // source name : System.
    if (h == NULL) 
    {    printf("Could not open the Application event log."); }
 
    pevlr = (EVENTLOGRECORD *) &bBuffer; 

    //GetOldestEventLogRecord(h, &dwThisRecord);
    // Opening the event log positions the file pointer for this 
    // handle at the beginning of the log. Read the records 
    // sequentially until there are no more. 
 
    while (ReadEventLog(h,                // event log handle 
             EVENTLOG_FORWARDS_READ |  // reads forward 
             EVENTLOG_SEQUENTIAL_READ, // sequential read 
             0,            // ignored for sequential reads 
             pevlr,        // pointer to buffer 
             4096,  // size of buffer 
             &dwRead,      // number of bytes read 
             &dwNeeded))   // bytes in next record 
    {
        while (dwRead > 0) 
        { 
            // Print the event identifier, type, and source name. 
            // The source name is just past the end of the formal structure. 
             
            //_tprintf(_T("%02d  Event ID: 0x%08X "),   dwThisRecord++, pevlr->EventID); 
	    _tprintf(_T("%02d  Event ID: %08d "),   dwThisRecord++, pevlr->EventID); 
            _tprintf(_T("EventType: %d Source: %s\n"),  pevlr->EventType, (LPCTSTR)((LPBYTE) pevlr + sizeof(EVENTLOGRECORD))); 
			
            dwRead -= pevlr->Length; 
            pevlr = (EVENTLOGRECORD *) ((LPBYTE) pevlr + pevlr->Length); 
        } 
 
        pevlr = (EVENTLOGRECORD *) &bBuffer; 
    } 
 
    CloseEventLog(h); 
}

這個方法讀出來的記錄有個問題,source是eventlog的記錄,eventID的值都不對。比如6005,是2147477642.。而其它來源的記錄不會有問題

方法二  .net 提供的類EventLog

msdn上 eventlog類的介紹:

double DiffSec=0;

            EventLog e = new EventLog();
            e.Log = "System";
            foreach (EventLogEntry l in e.Entries)
            {
                    if (l.EventID == 6006) // shutdown
                    { 
                         Console.WriteLine( "關機時間:"+ l.TimeGenerated );
                         year = l.TimeGenerated.Year;
                         month = l.TimeGenerated.Month;
                         day = l.TimeGenerated.Day;
                         hour = l.TimeGenerated.Hour;
                         min = l.TimeGenerated.Minute;
                         sec = l.TimeGenerated.Second;
                    }
               
                    if (l.EventID == 6005) // shutup
                    {
                         Console.WriteLine("開機時間:" + l.TimeGenerated);
                         year2= l.TimeGenerated.Year;
                         month2 = l.TimeGenerated.Month;
                         day2 = l.TimeGenerated.Day;
                         hour2 = l.TimeGenerated.Hour;
                         min2 = l.TimeGenerated.Minute;
                         sec2 = l.TimeGenerated.Second;
                    }
                     

            }
            if ((year == 0) | (year2 == 0))
            {
                Console.WriteLine("error");
                return 1;
            }
            else 
            {
                System.DateTime ShutdownTime = new DateTime(year, month, day, hour, min, sec);
                System.DateTime ShutupTime = new DateTime(year2, month2, day2, hour2, min2, sec2);
                System.TimeSpan diff2 = ShutupTime - ShutdownTime;
                DiffSec = diff2.TotalSeconds;
                if (DiffSec >= int.Parse(args[0])) 
                {
                    Console.WriteLine("0");
                    return 0;
                }
                else
                {
                    Console.WriteLine("1");
                    return 1;
                }
            }

 

相關推薦

讀取系統日誌eventlog記錄

檢視系統日誌的執行程式:eventvwr.msc 方法一   用API讀取 void DisplayEntries() { char *tempBuf=new char[100]; memset(tempBuf,0,100); HANDLE h;

EventLog讀取和寫入系統日誌

作為商業應用程式,尤其是WEB下的應用程式,安全問題是第一位的。這裡所說的安全包括兩個方面,一是系統本身的安全,也就是系統本身的強壯性,另一方面是系統在使用時,使用者的誤操作,或惡意破壞時引起的安全問題。 本文並不想介紹系統全方面的問題,如果你有興趣的可以去查閱相關資料。這裡,我想要介紹的是如

vsftpd日誌配置及查看——可以將vsftpd記錄系統日誌

常見 word 數據 配置 解決 tle user xferlog anon vsftpd日誌配置及查看 vsftpd ftp服務器的日誌設置,可以通過修改主配置文件/etc/vsftpd.conf實現。主配置文件中與日誌設置有關的選項包括xferlog_enable 、

系統日誌記錄方案

日誌記錄元件 Log4j,SLF4j,Logback 日誌記錄級別 致命(Fatal) -嚴重的錯誤,系統無法正常執行,如硬碟空間滿等。這個級別很少被用,常暗含系統或者系統的元件迫近崩潰。 錯誤(Error) -系統可以繼續執行,但最好要儘快修復的錯誤。這個級別用的較多,常常伴隨Java異常,錯誤

讀取系統"安全"日誌中的失敗登入嘗試 + 新增攻擊者IP到防火牆策略

Private Sub btnRead_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles bt

SpringBoot通過AOP實現系統日誌記錄(三)-Mapper層日誌監控及自定義異常攔截

本文是SpringBoot通過AOP實現系統日誌記錄(三)-Mapper層日誌監控及異常攔截,若要實現Service層監控,請點選傳送門: SpringBoot通過AOP實現系統日誌記錄(二)-Service層日誌監控 由於公司業務上的需求,現在需要對整個系統做日誌效能監控,方便開發人員快速

【問題記錄】JAVA程序啟動大概率卡住6分鐘左右,應用日誌沒有任何WARN ERROR,系統日誌也沒有發現和程序相關日誌,最後定位TOMCAT SHA1PRNG耗時太長

系統是基於springboot開發的系統,java -jar啟動過程中發現經常會卡住6分鐘左右,才能啟動完成,全程沒有發現任何WANR和ERROR級別的日誌(其實早看看DEBUG和INFO日誌,可能問題早就解決了,慣性思維害人啊),再去檢視/var/log/message系統日誌,也沒發現任何和

Oracle審計sys操作記錄到作業系統系統日誌

此次以Linux系統為例! 1、檢視當前資料庫版本及狀態資訊 SQL> select * from v$version; BANNER -----------------------------------------------------------------

USB記錄刪除?檔案使用記錄刪除?系統日誌刪除?何必呢?

(USB記錄刪除?檔案使用記錄刪除?系統日誌刪除?其實不用那麼麻煩?) 一、關於系統記錄清除 現在發現很多朋友在網上詢問為如何清除系統使用痕跡,包括U盤使用記錄,檔案使用記錄,日誌操作記錄等,其實嚴格來講是不可能將記錄完全清除乾淨的。主要因為現在作業系統的檔案儲存方式、系統許可權的複雜性

二十一、在web(ssm/maven)專案中使用slf4j和log4j2記錄系統日誌

本篇的重點在於LOG4J2,它與LOG4J 第一版區別很大。我將教程放在後面,將一些知識放在前面,所以想看教程的直接拉到後面即可。 理論知識 關於兩版的區別 兩版的不同,直接的表現是在Maven倉庫中log4j 表示第一版,org.apache.logging.log4j 表示第

Django 中使用 logging 模組記錄系統日誌

Handlers The handler is the engine that determines what happens to each message in a logger. It describes a particular logging behavior, such as writing

如何在VC中記錄系統日誌

#include "stdafx.h"#include <windows.h>#include <stdio.h> #define Register_Event_Error  0x00000001;#define Report_Event_Error 

Spring AOP自定義註解實現系統日誌記錄管理

package com.kilomob.powernetwork.managerweb.annotation; import java.lang.reflect.Method; import java.net.InetAddress; import java.util.Arrays; import java

部署Zipkin分散式效能追蹤日誌系統的操作記錄

Zipkin是Twitter的一個開源專案,是一個致力於收集Twitter所有服務的監控資料的分散式跟蹤系統,它提供了收集資料,和查詢資料兩大介面服務。 部署Zipkin環境的操作記錄: 部署Zipkin,比較麻煩的是前期環境的準備,只有先把前期環境安裝好了,後面的部署就順利多了。(部署機ip為192

centos7 清除系統日誌、歷史記錄(包括history)、登錄信息

系統日誌 ref 用戶操作 .com 日誌 史記 log cto 登錄 history: # echo > .bash_history //清除保存的用戶操作歷史記錄 # history -cw //清除所有歷史 centos7

系統日誌服務rsyslog

strong ssa 日誌 mark thp 守護 主機 日誌文件 通信 一、系統日誌服務rsyslog:多線程,可以基於UDP、TCP、TLS協議進行遠程通信,還可以將數據存儲到MySQL、PGSQL、Oracle,強大的過濾器,可實現過濾日誌信息中任何部分,可以自定義輸

linux——查看系統日誌錯誤並解決

初始化 .com mil 轉儲 來源 logs 任務 級別 查看系統 http://www.cnblogs.com/milliard/p/5597435.html 國內:中科大源日誌名稱: System來源: volmgr日期:

[CentOS 7系列]系統日誌

日誌一、系統日誌1、/var/log/messages 系統的日誌(服務,系統,軟件等)[[email protected]/* */ ~]# tail -5 /var/log/messages Jul 20 17:42:44 juispan NetworkManager[520]: <in

Linux系統日誌

日誌系統日誌默認分類/var/log/messages 系統服務及日誌,包括服務的信息,報錯等等/var/log/secure 系統認證信息日誌/var/log/maillog 系統郵件服務信息/var/log/cron

abp erp系統日誌--開篇

註意 實踐 mvc mage bsp 創建 我們 現在 .cn abp是ASP.NET Boilerplate簡稱,是一個用最佳實踐和流行技術開發現代WEB應用程序的新起點,它旨在成為一個通用的WEB應用程序框架和項目模板。 話不多說,abp是開源項目,我們前往官網去下載項