操作Windows日志:EventLog

1:事件日志名(logName):“事件查看器”中的每一项,如“应用程序”、“Internet Explorer”、“安全性”和“系统”都是日志(严格地说是日志的显示名字)

2:事件源:列表中的“来源”,创建时和事件日志相关联;

3:事件类型:包括“信息”、“错误”等;

基本操作:

1:创建日志:我没找到直接创建日志的方法,日志应该都是通过下面的创建事件源来间接创建;

2:创建事件源:静态方法EventLog.CreateEventSource(string sourceName, string LogName); //参数分别表示事件源名和日志名

功能说明:在某个事件日志中创建事件源,如果事件日志不存在,则自动创建;

3:删除日志:静态方法EventLog.Delete(string logName);

4:删除事件源:静态方法EventLog.DeleteEventSource(string sourceName);

5:判断日志是否存在:静态方法EventLog.Exists(string logName);

6:判断事件源是否存在:静态方法EventLog. SourceExists (string sourceName);

7:写日志:使用EventLog类的实例调用方法WriteEntry(string logDesc, EventLogEntryType.Information); //或者EventLogEntryType.Error

测试

using System;

using System.Diagnostics;

namespace WindowsConsoleApp

{

    //测试

    public class EnventLogHelper

    {

        private EventLog log;

        public EnventLogHelper()

        {

            log = new EventLog();//默认写应用程序日志

        }

        public EnventLogHelper(string name)

        {

            log = new EventLog(name);//指定写入的分类,用户自定义则新建分组。系统保留//"Application"应用程序, "Security"安全, "System"系统

            //或者可以用 log.Log = "Security";指定

        }

        public void WriteToApp()

        {

            try

            {

                log.Source = "我的应用程序";//日志来源

                log.WriteEntry("处理信息1", EventLogEntryType.Information);//日志类型

                log.WriteEntry("处理信息2", EventLogEntryType.Information);

                throw new System.IO.FileNotFoundException("readme.txt文件未找到");

            }

            catch (System.IO.FileNotFoundException exception)

            {

                log.WriteEntry(exception.Message, EventLogEntryType.Error);

            }

        }

        public void ReadLog()

        {

            EventLogEntryCollection eventLogEntryCollection = log.Entries;//获取日志collection

            foreach (EventLogEntry entry in eventLogEntryCollection)

            {

                string info = string.Empty;

                info += "【类型】:" + entry.EntryType.ToString() + ";";

                info += "【日期】" + entry.TimeGenerated.ToLongDateString() + ";";

                info += "【时间】" + entry.TimeGenerated.ToLongTimeString() + ";";

                info += "【计算机】" + entry.MachineName + "【来源】" + entry.Source + "【详细信息】" + entry.Message + "【】";

                //

                Console.WriteLine(info);

            }

        }

    }

}

查询Windows日志:EventLogQuery与EventRecord

监控Windows日志增量变化:EventLogWatcher

using System;

using System.Diagnostics.Eventing.Reader;

namespace WindowsConsoleApp

{

    class SubscribeToEventsExample

    {

        static void Main1(string[] args)

        {

            //监控类

            EventLogWatcher watcher = null;

            try

            {

                // Xpath语法筛选目标事件的发生

                EventLogQuery subscriptionQuery = new EventLogQuery(

                "Application", PathType.LogName, "*[System/Level=2] or *[System/Level=3]");

                watcher = new EventLogWatcher(subscriptionQuery);

                // 订阅到事件发生时候,触发事件

                watcher.EventRecordWritten +=

                    new EventHandler<EventRecordWrittenEventArgs>(

                        EventLogEventRead);

                //开始订阅Windows日志

                watcher.Enabled = true;

                //如果不停止,监控类会不停查询时间发生,直到Enable设置为false

                for (int i = ; i < ; i++)

                {

                    // Wait for events to occur.

                    System.Threading.Thread.Sleep();

                }

            }

            catch (EventLogReadingException e)

            {

                Console.WriteLine("Error reading the log: {0}", e.Message);

            }

            finally

            {

                // 停止监控

                watcher.Enabled = false;

                if (watcher != null)

                {

                    watcher.Dispose();

                }

            }

        }

        /// <summary>

        /// 事件触发

        /// </summary>

        public static void EventLogEventRead(object obj, EventRecordWrittenEventArgs arg)

        {

            // Make sure there was no error reading the event.

            if (arg.EventRecord != null)

            {

                Console.WriteLine("Received event {0} from the subscription.",

                    arg.EventRecord.Id);

                Console.WriteLine("Description: {0}", arg.EventRecord.FormatDescription());

                //log.EventId = arg.EventRecord.Id;//系统日志分配的记录ID

                //log.Source = arg.EventRecord.ProviderName;//来源

                //log.Level = (int)(arg.EventRecord.LevelDisplayName == "错误" ? WinLogLevelID.ERROR : WinLogLevelID.WARN);

                //log.TaskName = arg.EventRecord.TaskDisplayName ?? "无";

                //log.LogMessage = arg.EventRecord.FormatDescription();

                //log.TimeCreate = arg.EventRecord.TimeCreated ?? DateTime.Now;

            }

            else

            {

                Console.WriteLine("The event instance was null.");

            }

        }

    }

}

监控订阅:https://msdn.microsoft.com/en-us/library/bb671202(v=vs.90).aspx

查询规则: https://msdn.microsoft.com/en-us/library/bb399427.aspx

资源:

源码:https://referencesource.microsoft.com/#System/services/monitoring/system/diagnosticts/EventLog.cs

EventLog:https://msdn.microsoft.com/zh-cn/library/system.diagnostics.eventlog(v=vs.110).aspx

EventQuery:

https://msdn.microsoft.com/en-us/library/bb671200.aspx

EventLogReader:

https://msdn.microsoft.com/zh-cn/library/system.diagnostics.eventing.reader.eventlogreader(v=vs.110).aspx

.NET拾忆:EventLog(Windows事件日志监控)的更多相关文章

  1. .NET 操作 EventLog(Windows事件日志监控)(转载)

    操作Windows日志:EventLog 如果要在.NET Core控制台项目中使用EventLog(Windows事件日志监控),首先需要下载Nuget包: System.Diagnostics.E ...

  2. syslog系统日志、Windows事件日志监控

  3. 使用EventLog类写Windows事件日志

    在程序中经常需要将指定的信息(包括异常信息和正常处理信息)写到日志中.在C#3.0中可以使用EventLog类将各种信息直接写入Windows日志.EventLog类在System.Diagnosti ...

  4. 【第一章】zabbix3.4监控WindowsCPU使用率磁盘IO磁盘事件日志监控阈值邮件报警详细配置

    Windows安装zabbix-agent 监控Windows-CPU使用率 监控Windows-磁盘IO性能监控 监控Windows/Linux-磁盘触发器阈值更改 监控Windows-网卡自动发现 ...

  5. Syslog和Windows事件日志收集

    Syslog和Windows事件日志收集 EventLog Analyzer从分布式Windows设备收集事件日志,或从分布式Linux和UNIX设备.交换机和路由器(Cisco)收集syslog.事 ...

  6. 为什么要使用日志管理?syslog和Windows事件日志

    为什么要使用日志管理?syslog和Windows事件日志 日志管理 - 确保网络安全的先决条件 日志给予您有关网络活动的第一手信息.日志管理确保日志中隐藏的网络活动数据转换为有意义的可操作的安全信息 ...

  7. 控制台——EventLog实现事件日志操作

    我们应该如何通过写代码的方式向其中添加“日志”呢? 在操作之前,先明确几个概念: 1:事件日志名(logName):“事件查看器”中的每一项,如“应用程序”.“Internet Explorer”.“ ...

  8. Python处理Windows事件日志(json)

    通过NXlog将Windows事件日志保存为json格式文件,然后在Python中使用json.loads()进行处理. NXlog在将Windows事件日志保存为json格式文件,文件中带入了BOM ...

  9. EventLog实现事件日志操作

    选中”我的电脑”,在其右键菜单中选择“管理”,在打开的对话框中包括了如下图所示的“日志”信息: 选中其中的某一条日志,可以看到如下的详细信息: 我们应该如何通过写代码的方式向其中添加“日志”呢? 在操 ...

随机推荐

  1. [No0000FB]C# 命名空间(Namespace)

    命名空间的设计目的是提供一种让一组名称与其他名称分隔开的方式.在一个命名空间中声明的类的名称与另一个命名空间中声明的相同的类的名称不冲突. 定义命名空间 命名空间的定义是以关键字 namespace  ...

  2. RabbitMQ下的生产消费者模式与订阅发布模式

    所谓模式,就是在某种场景下,一类问题及其解决方案的总结归纳.生产消费者模式与订阅发布模式是使用消息中间件时常用的两种模式,用于功能解耦和分布式系统间的消息通信,以下面两种场景为例: 数据接入   假设 ...

  3. HBase实战 | 知乎实时数仓架构演进

    https://mp.weixin.qq.com/s/hx-q13QteNvtXRpNsE5Y0A 作者 | 知乎数据工程团队编辑 | VincentAI 前线导读:“数据智能” (Data Inte ...

  4. SQL join的介绍

    学员表 SELECT * FROM tb_address; SELECT * FROM tb_student 1.JOIN关联两个表数据,将匹配数据展示,数据无匹配值则不展示 注释:INNER JOI ...

  5. kafka可视化工具kafka tools

    一.下载 下载地址 选择windows 傻瓜式安装,选择安装路径,直接下一步就可以了 二. 使用 点击,运行 linux开启9092(broker)端口和2181(zookeeper)然后填写后,确定 ...

  6. MIPS 指令集开源了

    去年年底我们报导过 MIPS 指令集将于今年第一季度开源的消息,现在 MIPS 官方已经正式将其释出. MIPS 是一种精简指令集(Reduced Instruction Set Computer,R ...

  7. ansible--我的几个报错

    我的几个报错: 1.远程复制失败 [root@localhost ~ ]#scp -r .ssh 192.168.10.145:/root/ root@192.168.10.145's passwor ...

  8. Springmvc 使用 AbstractExcelView 导出excel

    $("#exportBtn").click(function () { location.href = "${pageContext.request.contextPat ...

  9. Oracle 11g服务详细介绍及哪些服务是必须开启的

    成功安装Oracle 11g后,共有7个服务,这七个服务的含义分别为: 1. Oracle ORCL VSS Writer Service: Oracle卷映射拷贝写入服务,VSS(Volume Sh ...

  10. 【JMeter】基础元件

    测试计划(Test Plan) 它用来描述一个测试方案,包含与本次性能测试所有相关的功能.也就说本次测试的所有内容是于基于一个计划的. “函数测试模式”复选框,如果被选择,它会使Jmeter记录来自服 ...