EvtQuery, fonction (winevt.h)
Exécute une requête pour récupérer des événements à partir d’un canal ou d’un fichier journal qui correspondent aux critères de requête spécifiés.
Syntaxe
EVT_HANDLE EvtQuery(
[in] EVT_HANDLE Session,
[in] LPCWSTR Path,
[in] LPCWSTR Query,
[in] DWORD Flags
);
Paramètres
[in] Session
Handle de session à distance que la fonction EvtOpenSession retourne. Définissez sur NULL pour interroger les événements sur l’ordinateur local.
[in] Path
Nom du canal ou chemin d’accès complet à un fichier journal qui contient les événements que vous souhaitez interroger. Vous pouvez spécifier un fichier journal .evt, .evtx ou.etl. Le chemin d’accès est requis si le paramètre Query contient une requête XPath ; le chemin d’accès est ignoré si le paramètre Query contient une requête XML structurée et que la requête spécifie le chemin.
[in] Query
Requête qui spécifie les types d’événements que vous souhaitez récupérer. Vous pouvez spécifier une requête XPath 1.0 ou une requête XML structurée. Si votre XPath contient plus de 20 expressions, utilisez une requête XML structurée. Pour recevoir tous les événements, définissez ce paramètre sur NULL ou « * ».
[in] Flags
Un ou plusieurs indicateurs qui spécifient l’ordre dans lequel vous souhaitez recevoir les événements et si vous interrogez un canal ou un fichier journal. Pour connaître les valeurs possibles, consultez l’énumération EVT_QUERY_FLAGS .
Valeur retournée
Un handle pour les résultats de la requête en cas de réussite ; sinon, NULL. Si la fonction retourne NULL, appelez la fonction GetLastError pour obtenir le code d’erreur.
Remarques
Pour obtenir des événements à partir des résultats de la requête, appelez la fonction EvtNext . Pour récupérer des événements commençant par un événement spécifique dans les résultats, appelez la fonction EvtSeek .
Vous devez appeler la fonction EvtClose avec le handle des résultats de la requête lorsque vous avez terminé.
Vous devez uniquement utiliser le handle de requête retourné par cette fonction sur le thread qui a créé le handle.
Exemples
Pour obtenir un exemple montrant comment utiliser cette fonction, consultez Interrogation d’événements.
Configuration requise
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge | Windows Vista [applications de bureau uniquement] |
| Serveur minimal pris en charge | Windows Server 2008 [applications de bureau uniquement] |
| Plateforme cible | Windows |
| En-tête | winevt.h |
| Bibliothèque | Wevtapi.lib |
| DLL | Wevtapi.dll |