например, я хочу запросить событие в node Журналах приложений и служб > Microsoft > Windows > groupPolicy > Operational, а идентификатор события - 5315, а время - текущее время.
Есть несколько новых поворотов, если вы собираетесь запрашивать события из нового стиля Windows EventLogs.
System.Diagnostics.Eventing.Reader имен System.Diagnostics.Eventing.Reader для чтения новых событий.EventLogQuery.EventReaders AD на компьютере регистрации.Этот пример показывает некоторые из новых методов доступа, ура.
string eventID = "5312";
string LogSource = "Microsoft-Windows-GroupPolicy/Operational";
string sQuery = "*[System/EventID=" + eventID + "]";
var elQuery = new EventLogQuery(LogSource, PathType.LogName, sQuery);
var elReader = new System.Diagnostics.Eventing.Reader.EventLogReader(elQuery);
List<EventRecord> eventList = new List<EventRecord>();
for (EventRecord eventInstance = elReader.ReadEvent();
null != eventInstance; eventInstance = elReader.ReadEvent())
{
//Access event properties here:
//eventInstance.LogName;
//eventInstance.ProviderName;
eventList.Add(eventInstance);
}
Вы можете запросить журнал событий:
var sourceName = "MySource";
var el = new EventLog("Application");
var latestEntryTime = (from entry in el.Entries.Cast<EventLogEntry>()
where entry.Source == sourceName
&& // put other where clauses here...
orderby entry.TimeWritten descending
select entry).First();
Однако следует предупредить, что этот подход медленный, поскольку коллекция Entries имеет тенденцию быть довольно большой.