我试图使用ETW函数没有成功读取文件:
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
为了捕获启动时间事件。
我尝试了各种功能 -
有没有人有一个读取系统跟踪文件的本机代码示例?
我的工作如下 -
LPWSTR pwsPath = L"Microsoft-Windows-Diagnostics-Performance/Operational";
LPWSTR pwsQuery = L"Event/System[EventID=100]";
hResults = EvtQuery(NULL, pwsPath, pwsQuery,
EvtQueryChannelPath | EvtQueryReverseDirection);
可以通过转到事件日志上的“属性”并使用其全名来找到通道名称。
错误15000是由于我尝试使用给定的标志而不是通道名称打开日志文件。
不确定哪个API会向您返回错误。你看过这个post,这提供了一个如何打开和读取事件日志的例子。