 |
 |
 |
 |
 |
|
Programmierung allgemein
Win32/Win64 API (native code)
Delphi fehlerhafte/merkwürdige EventID beim Auslesen des EventLog
Antwort
|
|
Registriert seit: 30. Nov 2005 Ort: München 5.754 Beiträge Delphi 10.4 Sydney |
#1
fehlerhafte/merkwürdige EventID beim Auslesen des EventLog
13. Jul 2009, 17:46
Guten Abend,
ich brüte schon den ganzen Tag über dieses Problem und finde nicht so recht einen Problemgrund. Hier die Ausgabe von meinem Programm es wird der aktuellste Eintrag des EventLogs ausgegeben. Application 2437 3221356552 -> sollte 8 sein [eventID] 1 -> stimmt [eventType] Internet Explorer 0 Security 2092 576 -> stimmt [eventID] 8 -> stimmt [eventType] System 2501 1073748860 -> sollte 7036 sein [eventID] 4 -> stimmt [eventType] Laut  msdn soll die Struktur eines Eintrags so aussehen:
Code:
In Delphi habe ich das so umgesetzt:
typedef struct _EVENTLOGRECORD {
DWORD Length; DWORD Reserved; DWORD RecordNumber; DWORD TimeGenerated; DWORD TimeWritten; DWORD EventID; WORD EventType; WORD NumStrings; WORD EventCategory; WORD ReservedFlags; DWORD ClosingRecordNumber; DWORD StringOffset; DWORD UserSidLength; DWORD UserSidOffset; DWORD DataLength; DWORD DataOffset; }EVENTLOGRECORD, *PEVENTLOGRECORD;
Delphi-Quellcode:
Das Auslesen mache ich mit diesem Code:
PEventLogRecord = ^TEventLogRecord;
TEventLogRecord = packed record length : DWORD; reserved : DWORD; recordNumber : DWORD; timeGenerated : DWORD; timeWritten : DWORD; eventID : DWORD; eventType : Word; numString : Word; eventCategory : Word; reservedFlag : Word; closingRecordNumber : DWORD; stringOffset : DWORD; userSidLength : DWORD; userSidOffset : DWORD; dataLength : DWORD; dataOffset : DWORD; end;
Delphi-Quellcode:
Die eventLogList ist so definiert:
procedure TThreadMonEventLog.execute;
const EVENTLOG_SEQUENTIAL_READ = 1; EVENTLOG_SEEK_READ = 2; EVENTLOG_FORWARDS_READ = 4; EVENTLOG_BACKWARDS_READ = 8; var hEventLog: THandle; lastRecNo: DWORD; event: TEventLogrecord; pEvent : PEventLogRecord; byteCount: Cardinal; minByteCount: Cardinal; i: Byte; errorCode: Boolean; begin for i:=0 to high(eventLogList) do begin hEventLog:=openEventLog(nil,pchar(eventLogList[i].name)); if hEventLog > 0 then begin getNumberOfEventLogRecords(hEventLog,lastRecNo); WriteLn(eventLogList[i].name); WriteLn(lastRecNo); if lastRecNo > 0 then begin if not readEventLog(hEventLog,EVENTLOG_SEQUENTIAL_READ or EVENTLOG_BACKWARDS_READ,lastRecNo,@event,0,byteCount,minByteCount) then if GetLastError = ERROR_INSUFFICIENT_BUFFER then begin GetMem(pEvent,minByteCount); if readEventLog(hEventLog,EVENTLOG_SEQUENTIAL_READ or EVENTLOG_BACKWARDS_READ,0,pEvent,minByteCount,byteCount,minByteCount) then begin WriteLn(pEvent^.eventID); WriteLn(pEvent^.eventType); end else WriteLn(GetLastError); FreeMem(pEvent); end; end; closeEventLog(hEventLog); end else closeEventLog(hEventLog); end; end; eventLogList : Array of TEventLog; und wird so befüllt:
Delphi-Quellcode:
Ich würde mich freuen, wenn jemand einen Rat für mich hätte.
function TThreadMonEventLog.getNumEventLogs:Byte;
const HKEY_LOCAL_MACHINE = $80000002; var reg : TRegistry; i : Byte; nameList : TStringList; begin result:=0; reg := TRegistry.Create; nameList := TStringList.Create; reg.RootKey:=HKEY_LOCAL_MACHINE; if reg.OpenKeyReadOnly('SYSTEM\CurrentControlSet\Services\EventLog') then begin reg.GetKeyNames(nameList); result:=nameList.count; setLength(eventLogList,result); for i:=0 to nameList.count -1 do begin eventLogList[i].name := nameList[i]; end; nameList.Free; end; reg.CloseKey; reg.Free; end; Grüße Klaus
Klaus
|
Zitat
|
|
(Co-Admin)
Registriert seit: 29. Mai 2002 Ort: Hamburg 11.105 Beiträge Delphi 11 Alexandria |
#2
Re: fehlerhafte/merkwürdige EventID beim Auslesen des EventL
13. Jul 2009, 18:33
Tschüss Chris
Die drei Feinde des Programmierers: Sonne, Frischluft und dieses unerträgliche Gebrüll der Vögel. Der Klügere gibt solange nach bis er der Dumme ist |
|
Zitat
|
|
Registriert seit: 30. Nov 2005 Ort: München 5.754 Beiträge Delphi 10.4 Sydney |
#3
Re: fehlerhafte/merkwürdige EventID beim Auslesen des EventL
13. Jul 2009, 19:06
Hallo Christian,
danke für Deine schnelle Antwort. Da muss man erst einmal drauf kommen sich das Binär anzuschauen .. Gelöst habe ich es nun so: pEvent^.eventID:=pEvent^.eventID and $0000FFFF; -> LinkNochmals danke! Grüße Klaus
Klaus
|
|
Zitat
|
Registriert seit: 28. Sep 2006 Ort: Sandhausen 941 Beiträge Delphi 2006 Professional |
#4
Re: fehlerhafte/merkwürdige EventID beim Auslesen des EventL
13. Jul 2009, 19:26
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet.
 " (Henning Richter)
|
|
Zitat
|
|
Registriert seit: 30. Nov 2005 Ort: München 5.754 Beiträge Delphi 10.4 Sydney |
#5
Re: fehlerhafte/merkwürdige EventID beim Auslesen des EventL
13. Jul 2009, 19:45
Zitat von OldGrumpy:
Solche Strukturen sind IMMER mit Nullen vorzubefüllen weil Windows in vielen Fällen nur dort reinschreibt wo es notwendig ist. Das von Dir benutzte Maskieren wird früher oder später wieder andere Probleme mit sich bringen. Machs lieber gleich richtig.
der Speicher wird nun mit Nullen vorbefüllt (ich verwende jetzt AllocMem) das hat aber nicht zur Lösung des Problems beigetragen. Wenn Du dir den Link in meinem letzen Post anschaust wirst Du sehen, dass der eigentliche CodeStatus (der für mich interessant ist) in den letzen 16bit der eventID steht. Grüße Klaus
Klaus
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
