下面的文章主要講述如何使用C++程序中監視Windows事件日志,還可以對程序進行擴充,如在事件日志記錄到特定的事件類型時,發電子郵件通知用戶,本文提供的C++程序代碼充分的說明。
.NET 1.0/1.1托管C++程序,如果你在使用一個更高版本的 .NET,需要在工程屬性對話框中設置/clr:oldSyntax編譯選項,或調整以下代碼使之符合新的托管語法。用於Windows事件日志的關鍵 .NET類型是Diagnostics::EventLog類。
1、定義一個托管類並實現事件日志通知處理程序
處理程序OnNewLogEntry)會在"新事件日志項"事件引發時調用,同時,請注意此處的EntryWrittenEventHandler,以下是示例代碼:
- __gc class NewLogEntryEventHandler
- {
- public:
- NewLogEntryEventHandler() {}
- public:
- void OnNewLogEntry(Object* sender, EntryWrittenEventArgs* e)
- {
- //獲取並處理最近創建的項
- EventLogEntry* eentry = e->Entry;
- }
- };
2、實例化一個EventLog對象,並把它的EnableRaisingEvents屬性設為true
屬性EventLog::EnableRaisingEvents是一個布爾類型,其控制了在項目添加到EventLog對象指定的日志時,是否引發事件:
- EventLog* log = new EventLog("Application");
- log->EnableRaisingEvents = true;
3、把事件處理程序連接到"新事件日志項"事件
首先,實例化定義了事件處理程序的對象在此例中為NewLogEntryEventHandler),接著,把事件方法OnNewLogEntry)添加到EventLog::EntryWritten的事件處理程序列表中:
- NewLogEntryEventHandler* handler = new NewLogEntryEventHandler();
- log->EntryWritten +=
- new EntryWrittenEventHandler( handler,&NewLogEntryEventHandler::OnNewLogEntry);
4、為特定事件的處理編寫代碼
回過頭來看一個OnNewLogEntry方法,可以看到傳遞給事件處理程序的EntryWrittenEventArgs對象有一個名為EventLogEntry的成員,其包含了有關記錄項目的詳細情況,具體為以下屬性:
- ·MachineName--創建事件日志的電腦系統名。
- ·Source--創建此事件的事件源或程序源。
- ·Message--用戶可在事件查看器中讀取這條文本值,其描述了記錄的事件。
- ·Event Type--此值代表了EventLogEntryType)為一個枚舉值,其代表記錄的事件類型:信息默認)、警告、錯誤、審核成功、審核失敗。
- ·Event ID--為有關事件程序特定的號碼。
- ·Data--此值通常用於存儲二進制信息--如內存轉儲--也是與事件有關的。
