Записи в журнал событий приложений Windows


есть ли способ записать в этот журнал событий:

или, по крайней мере, некоторые другие журналы Windows по умолчанию,где мне не нужно регистрировать источник событий?

5 89

5 ответов:

Да, есть способ записи в журнал событий, который вы ищете. Вам не нужно создавать новый источник, просто используйте существующий, который часто имеет то же имя, что и имя журнала событий, а также, в некоторых случаях, как приложение журнала событий, может быть доступен без административных привилегий*.

*в других случаях, когда вы не можете получить к нему прямой доступ, это журнал событий безопасности, например, который доступен только операционной системе.

я использовал этот код для записи непосредственно в приложение журнала событий:

using (EventLog eventLog = new EventLog("Application")) 
{
    eventLog.Source = "Application"; 
    eventLog.WriteEntry("Log message example", EventLogEntryType.Information, 101, 1); 
}

Как вы можете видеть, источник EventLog совпадает с именем EventLog. Причину этого можно найти в Источники Событий @ Windows Dev Center (я выделил жирным шрифтом часть, которая относится к имени источника):

каждый журнал в ключе Eventlog содержит подразделы, называемые источниками событий. Источник события-это имя программного обеспечения, которое регистрирует событие. это часто имя применение или имя подкомпонента приложения, если приложение является большим. В реестр можно добавить не более 16 384 источников событий.

вы можете использовать класс EventLog, как описано на Как: запись в журнал событий приложения (Visual C#):

var appLog = new EventLog("Application");
appLog.Source = "MySource";
appLog.WriteEntry("Test log message");

однако, вам нужно будет настроить это источник "MySource" с правами администратора:

используйте WriteEvent и WriteEntry для записи событий в журнал событий. Необходимо указать источник событий для записи событий; необходимо создать и настроить источник событий перед записью первой записи с помощью источник.

Это класс logger, который я использую. Метод private Log () имеет EventLog.WriteEntry() в нем, как вы на самом деле писать в журнал событий. Я включаю весь этот код здесь, потому что это удобно. Помимо ведения журнала, этот класс также будет следить за тем, чтобы сообщение не было слишком длинным для записи в журнал событий (он будет усекать сообщение). Если сообщение было слишком длинным, вы получите исключение. Вызывающий также может указать источник. Если вызывающий объект этого не делает, этот класс получит источник. Надеюсь на это помогает.

кстати, вы можете получить ObjectDumper из интернета. Я не хотел размещать все это здесь. Я получил свой отсюда:C:\Program Files (x86)\Microsoft Visual Studio 10.0\Samples33\CSharpSamples.zip\LinqSamples\ObjectDumper

using System;
using System.Diagnostics;
using System.Diagnostics.CodeAnalysis;
using System.Globalization;
using System.Linq;
using System.Reflection;
using Xanico.Core.Utilities;

namespace Xanico.Core
{
    /// <summary>
    /// Logging operations
    /// </summary>
    public static class Logger
    {
        // Note: The actual limit is higher than this, but different Microsoft operating systems actually have
        //       different limits. So just use 30,000 to be safe.
        private const int MaxEventLogEntryLength = 30000;

        /// <summary>
        /// Gets or sets the source/caller. When logging, this logger class will attempt to get the
        /// name of the executing/entry assembly and use that as the source when writing to a log.
        /// In some cases, this class can't get the name of the executing assembly. This only seems
        /// to happen though when the caller is in a separate domain created by its caller. So,
        /// unless you're in that situation, there is no reason to set this. However, if there is
        /// any reason that the source isn't being correctly logged, just set it here when your
        /// process starts.
        /// </summary>
        public static string Source { get; set; }

        /// <summary>
        /// Logs the message, but only if debug logging is true.
        /// </summary>
        /// <param name="message">The message.</param>
        /// <param name="debugLoggingEnabled">if set to <c>true</c> [debug logging enabled].</param>
        /// <param name="source">The name of the app/process calling the logging method. If not provided,
        /// an attempt will be made to get the name of the calling process.</param>
        public static void LogDebug(string message, bool debugLoggingEnabled, string source = "")
        {
            if (debugLoggingEnabled == false) { return; }

            Log(message, EventLogEntryType.Information, source);
        }

        /// <summary>
        /// Logs the information.
        /// </summary>
        /// <param name="message">The message.</param>
        /// <param name="source">The name of the app/process calling the logging method. If not provided,
        /// an attempt will be made to get the name of the calling process.</param>
        public static void LogInformation(string message, string source = "")
        {
            Log(message, EventLogEntryType.Information, source);
        }

        /// <summary>
        /// Logs the warning.
        /// </summary>
        /// <param name="message">The message.</param>
        /// <param name="source">The name of the app/process calling the logging method. If not provided,
        /// an attempt will be made to get the name of the calling process.</param>
        public static void LogWarning(string message, string source = "")
        {
            Log(message, EventLogEntryType.Warning, source);
        }

        /// <summary>
        /// Logs the exception.
        /// </summary>
        /// <param name="ex">The ex.</param>
        /// <param name="source">The name of the app/process calling the logging method. If not provided,
        /// an attempt will be made to get the name of the calling process.</param>
        public static void LogException(Exception ex, string source = "")
        {
            if (ex == null) { throw new ArgumentNullException("ex"); }

            if (Environment.UserInteractive)
            {
                Console.WriteLine(ex.ToString());
            }

            Log(ex.ToString(), EventLogEntryType.Error, source);
        }

        /// <summary>
        /// Recursively gets the properties and values of an object and dumps that to the log.
        /// </summary>
        /// <param name="theObject">The object to log</param>
        [SuppressMessage("Microsoft.Globalization", "CA1303:Do not pass literals as localized parameters", MessageId = "Xanico.Core.Logger.Log(System.String,System.Diagnostics.EventLogEntryType,System.String)")]
        [SuppressMessage("Microsoft.Naming", "CA1720:IdentifiersShouldNotContainTypeNames", MessageId = "object")]
        public static void LogObjectDump(object theObject, string objectName, string source = "")
        {
            const int objectDepth = 5;
            string objectDump = ObjectDumper.GetObjectDump(theObject, objectDepth);

            string prefix = string.Format(CultureInfo.CurrentCulture,
                                          "{0} object dump:{1}",
                                          objectName,
                                          Environment.NewLine);

            Log(prefix + objectDump, EventLogEntryType.Warning, source);
        }

        private static void Log(string message, EventLogEntryType entryType, string source)
        {
            // Note: I got an error that the security log was inaccessible. To get around it, I ran the app as administrator
            //       just once, then I could run it from within VS.

            if (string.IsNullOrWhiteSpace(source))
            {
                source = GetSource();
            }

            string possiblyTruncatedMessage = EnsureLogMessageLimit(message);
            EventLog.WriteEntry(source, possiblyTruncatedMessage, entryType);

            // If we're running a console app, also write the message to the console window.
            if (Environment.UserInteractive)
            {
                Console.WriteLine(message);
            }
        }

        private static string GetSource()
        {
            // If the caller has explicitly set a source value, just use it.
            if (!string.IsNullOrWhiteSpace(Source)) { return Source; }

            try
            {
                var assembly = Assembly.GetEntryAssembly();

                // GetEntryAssembly() can return null when called in the context of a unit test project.
                // That can also happen when called from an app hosted in IIS, or even a windows service.

                if (assembly == null)
                {
                    assembly = Assembly.GetExecutingAssembly();
                }


                if (assembly == null)
                {
                    // From http://stackoverflow.com/a/14165787/279516:
                    assembly = new StackTrace().GetFrames().Last().GetMethod().Module.Assembly;
                }

                if (assembly == null) { return "Unknown"; }

                return assembly.GetName().Name;
            }
            catch
            {
                return "Unknown";
            }
        }

        // Ensures that the log message entry text length does not exceed the event log viewer maximum length of 32766 characters.
        private static string EnsureLogMessageLimit(string logMessage)
        {
            if (logMessage.Length > MaxEventLogEntryLength)
            {
                string truncateWarningText = string.Format(CultureInfo.CurrentCulture, "... | Log Message Truncated [ Limit: {0} ]", MaxEventLogEntryLength);

                // Set the message to the max minus enough room to add the truncate warning.
                logMessage = logMessage.Substring(0, MaxEventLogEntryLength - truncateWarningText.Length);

                logMessage = string.Format(CultureInfo.CurrentCulture, "{0}{1}", logMessage, truncateWarningText);
            }

            return logMessage;
        }
    }
}

Как указано в MSDN (например. https://msdn.microsoft.com/en-us/library/system.diagnostics.eventlog (v=vs.110). aspx ), проверка несуществующего источника и создание источника требует прав администратора.

однако можно использовать источники "приложения" без. В моем тесте под Windows 2012 Server r2 я, однако, получаю следующую запись журнала с помощью источника "Application":

описание для идентификатора события xxxx из источника Приложение не может быть найдено. Компонент, который вызывает это событие не установлен на этом локальном компьютере или поврежден. Вы можете установить или восстановить компонент на локальном компьютере. Если событие возникло на другом компьютере, отображаемая информация должна быть сохранена вместе с событием. На мероприятии была представлена следующая информация: {мое сообщение о записи события} ресурс сообщения существует, но сообщение не найдено в таблице строк и сообщение таблица

Я определил следующий метод для создания источник:

    private string CreateEventSource(string currentAppName)
    {
        string eventSource = currentAppName;
        bool sourceExists;
        try
        {
            // searching the source throws a security exception ONLY if not exists!
            sourceExists = EventLog.SourceExists(eventSource);
            if (!sourceExists)
            {   // no exception until yet means the user as admin privilege
                EventLog.CreateEventSource(eventSource, "Application");
            }
        }
        catch (SecurityException)
        {
            eventSource = "Application";
        }

        return eventSource;
    }

Я вызываю его с currentAppName = AppDomain.CurrentDomain.FriendlyName

можно было бы использовать класс EventLogPermission вместо этого try / catch, но не уверен, что мы можем избежать catch.

также можно создать источник извне, например, в повышенном Powershell:

New-EventLog -LogName Application -Source MyApp

затем, используя "MyApp" в методе выше не будет создайте исключение, и журнал событий может быть создан с этим источником.

попробовать

   System.Diagnostics.EventLog appLog = new System.Diagnostics.EventLog();
   appLog.Source = "This Application's Name";
   appLog.WriteEntry("An entry to the Application event log.");