| 查看: 142 | 回复: 0 | |||
| 当前主题已经存档。 | |||
zsglly木虫 (著名写手)
|
[交流]
如何读写WINDOWS2000的日志
|
||
|
一些大型应用程序会把他们的一些事件写到日志里面去,比如sql server,norton,iis等.我google了一下, 网上关于这方面的资料并不是很完整,于是整理加工了一下. 下面是我看msdn,用google及自己摸索得到的一点 体会,共享. 一.注册事件源.(需以administrator登陆本机才行) 你需要为你的应用程序注册一个事件源,以表明那些是属于你应用程序的事件. HKEY hk; ULONG disposition, allowed; char szName[256]; strcpy(szName,"SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Application\\"  ; strcat(szName,"CMCard" ; if (RegCreateKeyEx(HKEY_LOCAL_MACHINE,szName,0,NULL,REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS, NULL,&hk,&disposition))//为事件源建一个键 { printf("Unable to create registry key" ; return; } strcpy (szName,"%SystemRoot%\\System\\MYDLL.DLL" ; if(RegSetValueEx(hk,"EventMessageFile",0,REG_EXPAND_SZ,(LPBYTE)szName,strlen(szName)+1)) {//为事件源指定一个解释事件的事件dll. printf("Unable to create/set registryvalue (message DLL name)" ; return; } allowed=EVENTLOG_ERROR_TYPE|EVENTLOG_WARNING_TYPE|EVENTLOG_INFORMATION_TYPE; if (RegSetValueEx(hk,"TypesSupported",0,REG_DWORD,(LPBYTE)&allowed,sizeof(DWORD))) {//为事件源指定类型 printf("Unable to create/set registry value (message types)" ; return; } RegCloseKey(hk); 二.编写事件dll.(用于解释事件id表示的内容) 用mc.exe(vc自带)编译一个*.mc文件,生成*.h,*.rc,*.bin,再用他们生成一个资源dll(用vc生成一个空 win32dll框架,把他们加进来编译),放system目录下. 下面是一个mc文件的样板:;//begin============================================================== ;#ifndef __CMCARD_H__ ;#define __CMCARD_H__ LanguageNames=(Chinese=2052:MSG0052) SeverityNames=(Success=0x0:STATUS_SEVERITY_SUCCESS Informational=0x1:STATUS_SEVERITY_INFORMATIONAL Warning=0x2:STATUS_SEVERITY_WARNING Error=0x3:STATUS_SEVERITY_ERROR ) MessageId=1000 Severity=Success SymbolicName=CM_CARD_STATUS_OK Language=Chinese CMCard的状态良好. . MessageId=1001 Severity=Success SymbolicName=CM_CARD_STATUS_BED Language=Chinese CMCard出错了,原因可能是%1. . ;#endif //__CMCARD_H__ ;//end================================================================ 说明:默认的语言是英语,此时"LanguageNames="那句可以省略; %1表示从ReportEvent传来的参数; 注意注释时";"与";//"的不同用法.mc编译器会忽略";"后面的字符,但会把他们写到*.h文件里. 三.写日志的方法. //vc BOOL syslog(DWORD dwID,char*str,WORD wType)//参数:事件id;事件附加信息;事件类型 { HANDLE hd=RegisterEventSource(NULL,"CMCard" ;//指定/打开事件源 char* buff[1]; buff[0]=str; int i; if(hd){ i=ReportEvent(hd,wType,0,dwID,NULL,1,0,(LPCTSTR*)buff,NULL);//写日志 DeregisterEventSource(hd);//关闭事件源 if(i)return TRUE; } return FALSE; } ''vb Private Declare Function ReportEvent Lib "advapi32" Alias "ReportEventA" (ByVal hEventLog As Long, _ ByVal wType As Long, ByVal wCategory As Long, ByVal dwEventID As Long, ByVal lpUserSid As Long, _ ByVal wNumStrings As Long, ByVal dwDataSize As Long, lpStrings As Any, lpRawData As Any) As Long ''注意这个声明,与api text viewer的是不同的.注意As Any的妙用. Function sysLog(byval lngID as long,byval strMsg As String,byval lngType as long) As Boolean Dim hd As Long Dim ret As Integer hd = RegisterEventSource("", "CMCard" If hd <> 0 Then ret = ReportEvent(hd, lngType, 0, lngID, 0&, 1, 0, strMsg, 0) DeregisterEventSource hd End If If ret <> 0 Then sysLog = True Else: sysLog = False End If End Function 四 .读日志的例子. void CEventDlg::OnButton3() {//参考http://www.codeproject.com/system/sysevent.asp HANDLE hdle; EVENTLOGRECORD *ptr; BYTE buff[4096]; DWORD read_len, next_len; ptr=(EVENTLOGRECORD *)&buff; hdle=OpenEventLog("", "Application" ;// System if (hdle==NULL) { MessageBox("打开日志失败" ; } else { long mRet; char lpszSourceName[255]={0}; char lpszComputerName[255]={0}; unsigned uStepOfString; char* pStrings; char szExpandedString[1024]={0}; while(ReadEventLog(hdle,EVENTLOG_FORWARDS_READ|EVENTLOG_SEQUENTIAL_READ, 1,ptr,sizeof(buff),&read_len,&next_len)) { mRet=ptr->EventID;//事件id mRet=ptr->EventType;//事件类型 mRet=ptr->TimeWritten;// mRet=ptr->NumStrings;// mRet=ptr->Length;// mRet=sizeof(EVENTLOGRECORD); strcpy(lpszSourceName, (LPTSTR)((LPBYTE)ptr +mRet));//事件源 mRet+= strlen(lpszSourceName) + 1; strcpy(lpszComputerName, (LPTSTR)((LPBYTE)ptr + mRet));//机器名 mRet+= strlen(lpszComputerName) + 1; if(ptr->UserSidLength>0){;}// mRet=ptr->DataOffset-ptr->StringOffset; if(mRet>0)//事件描述 { pStrings=new char[mRet]; memcpy(pStrings,(LPBYTE)ptr+ptr->StringOffset,mRet); uStepOfString=0; for(int x=0;x { if(x==0) { strcpy(szExpandedString, (TCHAR *)pStrings + uStepOfString); if(x<(UINT)ptr->NumStrings - 1)strcat(szExpandedString, "," ; } else strcat(szExpandedString, pStrings + uStepOfString); uStepOfString = strlen(pStrings + uStepOfString) + 1; } delete [] pStrings; } MessageBox(lpszSourceName,szExpandedString); } CloseEventLog(hdle); } } 五.源代码的使用与运行结果 本文附带的示例工程对WIN2K日志的读写进行了演示,使用时先编译mydll,并拷贝到system目录下,然后编译event工程。运行结果可以使用事件查看器查看: 假如在指定的位置没有找到mydll,则会显示: 事件 ID ( 1001 )的描述(在资源( CMCard )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。部分事件包含了下列信息: king_koo Hello!. 六.后记 以上演示了读写win2k日志的基本方法,重在应用.想知道更理论/更详尽的东西,就只有再认真研究msdn了. 另:读日志好麻烦,谁知道更简捷的方法麻烦告诉我一声.欢迎指点/批评(king_koo@163.net) [ Last edited by 幻影无痕 on 2006-11-29 at 07:42 ] |
回复此楼» 猜你喜欢
材料学求调剂
已经有6人回复
-
303求调剂
已经有5人回复
-
一志愿武理085500机械专业总分300求调剂
已经有7人回复
-
考研调剂
已经有4人回复
-
281求调剂
已经有4人回复
-
0805 316求调剂
已经有6人回复
-
085601求调剂总分293英一数二
已经有3人回复
-
08工学调剂
已经有17人回复
-
340求调剂
已经有4人回复
-
311求调剂
已经有3人回复
