Ich möchte OpenEventLog benutzen, um das Windows Defender-Log zu durchstöbern. Dazu muss ich den Namen des Logs übergeben, den ich einfach nicht rausfinde. Kann mir jemand helfen?

Im Event Viewer findet sich das Log unter:

Event Viewer (Local) > Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational

In den Log Properties findet sich der "Full Name" des Logs als:

Microsoft-Windows-Windows Defender/Operational

Als Source findet sich in den Events:

Windows Defender

Die Datei, die das Log beinhaltet, befindet sich in:

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx

Und der zugehörige Registry-Eintrag findet sich unter):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\EventLog\System\WinDefend

Laut Doku wäre das passend, denn:
Als Test habe ich einen kleinen Viewer gebaut, der andere Logs schon lesen kann. Das klappt je nach Log einfach bis gar nicht:

Aus welchem Namen muss ich den Namen des lpSourceName-Parameters herleiten?
(und wie ist der mit dem Namen in der Registry verknüpft, die brauche ich ja, um die Dateinamen der Message-DLL(s) dazu zu bekommen)

Laut Doku wäre es ja WinDefend, aber dabei erhalte ich das übergeordnete "System"-Log, mit keinem einzigen Eintrag, der "passt" (also auch filtern nicht hilfreich).

Bin für jeden weiteren Tipp dankbar

Hier kommen verschiedene Handle-Werte bei rum:

Ausgabe:

Das ist egal.

Ob eine Funktion beim Öffnen des "Selben" jeweils eigene Handle liefert, oder das gleiche Handle mit einer Referenzzählung, ist ihr überlassen.
Ein unterschiedliches Handle besagt nichts darüber, was drin ist.



System: 005C1880
System: 005BF928

Der Aufruf ist falsch kodiert, @Sourcename gibt die Addresse der Variablen SourceName, nicht die des Inhalts. Versuch mal

SystemEventLogHandle := OpenEventLog(nil, PChar(SourceName));

Jo, stimmt schon!
Hilft aber trotzdem nicht weiter, weil diese Kackschnittstelle einen immer auf 'Application' zurückwirft, wenn sie den Namen nicht auflösen kann. Tolle Wurst!

WinDefend wirft bei mir auf System zurück, alle anderen gar nicht existierenden Namen tatsächlich auf Application. Insofern scheint der Name WinDefend ansatzweise richtig zu sein.

Das MSDN-Beispiel prüft den "Provider", den ersten String hinter dem jeweiligen Record. Die habe ich mir für System aber alle ausgeben lassen, und WinDefend oder Windows Defender oder Microsoft-Windows-Defender.

Schaue ich in die Registry zum Eintrag von WinDefend, finde ich dort noch eine ProviderGuid. Kann die noch involviert sein?

Ich teile hier mal meine Reader-Klasse, das ist ein funktionierender Aufruf von OpenEventLog. Zugegeben Lazarus/FreePascal, aber im Delphi-Modus:
https://www.ccrdude.net/snippets/

(Nachtrag: hier steht, das OpenEventLog Legacy-Code ist. Ich werde mich mal an die Evt-Funktionen machen.)

OpenEventLog




https://docs.microsoft.com/en-us/win.../event-sources
https://docs.microsoft.com/en-us/win...g/eventlog-key

Hmm..

Dir ist bewusst, das OpenEventLog eigentlich nur die Primären LogFiles kann?
(Applikation/System..)
In den Filtern der Ereignisanzeige von Windows 'Protokoll' genannt.

Die Namen findest Du in der Reg unter HKLM\SYSTEM\CurrentControlSet\Services\Eventlog

Diese entsprechen (intern) den wohl tatsächlichen LogFiles...
Jedes dieser LogFile hat dann Provider, in der Ereignisanzeige 'Quelle' genannt.

Mit WMI kannst Du dann auch die Sourcen/Provider selectieren:
"SELECT * FROM Win32_NTLogEvent where LogFile='System' and SourceName ='WinDefend' "

Optional geht das seit Vista über die neuere (Nachfolger) API 'Windows Events API' (winevt.h).
Dort kannst Du dann die Liste der Channels (Protokolle) per 'EvtOpenChannelEnum' / 'EvtNextChannelPath' auslesen, wie auch die separaten Einträge...