我很难找到这个问题的答案。我一直在寻找,但似乎从来没有遇到过解决方案。
好的,我正在尝试导出的是使用C#实际查看来自事件查看器的.evtx文件。我成功地完成了以下任务:
但我也想抓住“行政事件”。即使我使用如下所示的相同代码来获取其他三个,但它也不起作用。
此代码按预期工作,并将事件日志导出到指定目录:
session.ExportLogAndMessages("Application", PathType.LogName, "*", logPaths[(int)EVENTLOGS.APPLICATION]);
session.ExportLogAndMessages("System", PathType.LogName, "*", logPaths[(int)EVENTLOGS.SYSTEM]);
session.ExportLogAndMessages("Security", PathType.LogName, "*", logPaths[(int)EVENTLOGS.SECURITY]);
当我尝试抓住“管理事件”时,在本节中的位置它给了我这个错误:“无法找到指定的频道。检查频道配置”
session.ExportLogAndMessages("Administrative Events", PathType.LogName, "*", logPaths[(int)EVENTLOGS.ADMINISTRATIVE]);
有什么想法吗?在尝试获取自定义视图时是否应该使用不同的API调用?我非常感谢你们的善意和及时的回应。
答案 0 :(得分:0)
我不相信您可以使用该方法导出管理事件,因为它是跨多个日志的自定义视图。我认为您必须使用EventLogQuery类来模拟相同的过滤器并尝试导出这些结果。