none
Работа с Custom EventLog (VBScript) RRS feed

  • Вопрос

  • Добрый день!

    Пытаюсь разобраться вот с чем:

    Создал свой журнал событий путем добавления в реестр раздела с названием журнала (MyLogName) в ветку "HKLM\System\CurrentControlSet\Services\EventLog\".

    События добавляю с помощью вызова программы EventCreate. Все прекрасно работает, в общем то доволен, но!

    Попробовал посредством VBScript очистить мой журнал, однако запрос ("Select * from Win32_NTEventLogFile Where LogFileName = 'MyLogName'") к  Win32_NTLogEvent не нашел мой журнал.

    Каким образом, надо "зарегистрировать" информацию о моем журнале, чтобы он отображалсяв указанном запросе?

    Спасибо!



    • Изменено JordanS76 29 августа 2014 г. 17:40
    29 августа 2014 г. 15:52

Ответы

  • 1) DisplayNameFile  - Если параметр не указан, берется значение из подключа реестр. Поэтому создать ключ реестра с локализованным названием.

    2) Какими средствами создавать файлы, содержащие имя журнала событий.

    Если параметр File не указан, то создается журнал с названием подключа реестра. По умолчанию в %SystemRoot%\system32\winevt\Logs.

    Название ключа реестра (Журнал Для Событий,Мой Журнал). Для Журнал Для Событий определен параметр File.

    PS  #  Get-WinEvent -ListLog * | Where {$_.LogName -match "[а-я]"} | Format-List LogName,LogFilePath
    LogName     : Журнал Для Событий
    LogFilePath : %SystemRoot%\System32\Winevt\Logs\my.evtx
    
    LogName     : Мой Журнал
    LogFilePath : %SystemRoot%\System32\Winevt\Logs\Мой Журнал.evtx


    • Изменено KazunEditor 30 августа 2014 г. 17:15
    • Помечено в качестве ответа JordanS76 30 августа 2014 г. 17:26
    30 августа 2014 г. 17:14
    Отвечающий

Все ответы

  • Зарегистрировать в ключе  - http://msdn.microsoft.com/en-us/library/windows/desktop/aa363648(v=vs.85).aspx

    Или проще воспользоваться утилитой wevtutil.

    30 августа 2014 г. 7:13
    Отвечающий
  • Все оказалось проще - надо было запустить от имени Администратора (Win 8).

    Еще есть вопрос -  как использовать ключи DisplayNameFile, DisplayNameId для локализации имени журнала событий?

    Какими средствами создавать файлы, содержащие имя журнала событий.

    30 августа 2014 г. 15:44
  • 1) DisplayNameFile  - Если параметр не указан, берется значение из подключа реестр. Поэтому создать ключ реестра с локализованным названием.

    2) Какими средствами создавать файлы, содержащие имя журнала событий.

    Если параметр File не указан, то создается журнал с названием подключа реестра. По умолчанию в %SystemRoot%\system32\winevt\Logs.

    Название ключа реестра (Журнал Для Событий,Мой Журнал). Для Журнал Для Событий определен параметр File.

    PS  #  Get-WinEvent -ListLog * | Where {$_.LogName -match "[а-я]"} | Format-List LogName,LogFilePath
    LogName     : Журнал Для Событий
    LogFilePath : %SystemRoot%\System32\Winevt\Logs\my.evtx
    
    LogName     : Мой Журнал
    LogFilePath : %SystemRoot%\System32\Winevt\Logs\Мой Журнал.evtx


    • Изменено KazunEditor 30 августа 2014 г. 17:15
    • Помечено в качестве ответа JordanS76 30 августа 2014 г. 17:26
    30 августа 2014 г. 17:14
    Отвечающий