Поделиться через

Класс NTEventLogEventConsumer

  • Статья

Класс NTEventLogEventConsumer регистрирует определенное сообщение в журнале событий операционной системы при доставке в него события. Этот класс является одним из стандартных потребителей событий, которые предоставляет WMI. Дополнительные сведения см. в разделе Мониторинг и реагирование на события с помощью стандартных потребителей.

Синтаксис

[AMENDMENT]
class NTEventLogEventConsumer : __EventConsumer
{
  uint8  CreatorSID[];
  string MachineName;
  uint32 MaximumQueueSize;
  uint16 Category;
  string NameOfRawDataProperty;
  uint32 EventID;
  uint32 EventType = 1;
  string InsertionStringTemplates[] = {""};
  string Name;
  uint32 NumberOfInsertionStrings = 0;
  string NameOfUserSidProperty;
  string SourceName;
  string UNCServerName;
};

Члены

Класс NTEventLogEventConsumer имеет следующие типы членов:

Элемент Property

Класс NTEventLogEventConsumer имеет следующие свойства.

Категория

Тип данных: uint16

Тип доступа: только для чтения

Категория событий. Эта информация зависит от источника и может иметь любое значение.

CreatorSID

Тип данных: массив uint8

Тип доступа: только для чтения

Идентификатор безопасности (SID), который однозначно идентифицирует пользователя, создающего фильтр. WMI сохраняет идентификатор безопасности пользователя, создающего экземпляр __EventConsumer , или идентификатор безопасности администратора в зависимости от операционной системы. Дополнительные сведения см. в разделах Привязка фильтра событий к логическому потребителюи Мониторинг и реагирование на события с помощью стандартных потребителей.

Это свойство наследуется от __EventConsumer.

EventID

Тип данных: uint32

Тип доступа: только для чтения

Сообщение о событии в библиотеке DLL сообщения. Это свойство не может иметь значение NULL.

EventType

Тип данных: uint32

Тип доступа: только для чтения

Тип события. Этот параметр может иметь одно из значений, перечисленных в следующем списке, которые определены в Winnt.h.

EVENTLOG_SUCCESS (0 (0x0))

Успешное событие

EVENTLOG_ERROR_TPYE (1 (0x1))

Событие ошибки

EVENTLOG_WARNING_TYPE (2 (0x2))

Событие предупреждения

EVENTLOG_INFORMATION_TYPE (4 (0x4))

Информационное событие

EVENTLOG_AUDIT_SUCCESS (8 (0x8))

Тип аудита успешного выполнения

EVENTLOG_AUDIT_FAILURE (16 (0x10))

Тип аудита сбоя

InsertionStringTemplates

Тип данных: строковый массив

Тип доступа: только для чтения

Массив стандартных шаблонов строк, используемых в качестве строки вставки для записи журнала событий.

MachineName

Тип данных: string

Тип доступа: только для чтения

Имя компьютера, на который инструментарий управления Windows (WMI) отправляет события.

Это свойство наследуется от __EventConsumer.

MaximumQueueSize

Тип данных: uint32

Тип доступа: только для чтения

Максимальная очередь для конкретного потребителя в байтах.

Это свойство наследуется от __EventConsumer.

имя;

Тип данных: string

Тип доступа: только для чтения

Квалификаторы: ключ

Уникальное имя потребителя.

NameOfRawDataProperty

Тип данных: string

Тип доступа: только для чтения

Имя свойства события, содержащего данные для передачи в параметр lpRawData функции ReportEvent.

NameOfUserSidProperty

Тип данных: string

Тип доступа: только для чтения

Имя свойства события, которое содержит идентификатор безопасности (SID), передаваемый в параметр lpUserSid функции ReportEvent. Свойство должно быть массивом байтов (uint8) или строкой. Если это массив байтов, предполагается, что он является идентификатором безопасности. Если это строка, это идентификатор безопасности строки, который преобразуется в sid.

NumberOfInsertionStrings

Тип данных: uint32

Тип доступа: только для чтения

Количество элементов в массиве InsertionStringTemplates .

SourceName

Тип данных: string

Тип доступа: только для чтения

Имя источника, в котором находится сообщение. Предполагается, что клиент зарегистрировал библиотеку DLL с необходимыми сообщениями.

Примечание

Значение этого параметра не должно содержать двоеточие (:) Символ.

UNCServerName

Тип данных: string

Тип доступа: только для чтения

Имя компьютера, на котором регистрируется событие, или NULL , если событие должно быть зарегистрировано на локальном сервере.

Пользователи, прошедшие проверку подлинности, по умолчанию не могут записывать события в журнал приложений на удаленном компьютере. В результате использование этого свойства для указания удаленного компьютера не будет работать. Чтобы узнать, как изменить безопасность журнала событий, ознакомьтесь с этой статьей базы знаний.

Комментарии

Класс NTEventLogEventConsumer является производным от абстрактного класса __EventConsumer .

Примеры

Пример использования NTEventLogEventConsumer для создания потребителя см. в разделе Ведение журнала событий NT на основе события.

Требования

Требование Значение
Минимальная версия клиента
 Windows Vista
Минимальная версия сервера
 Windows Server 2008
Пространство имен
 Root\subscription
MOF
Wbemcons.mof
DLL
Wbemcons.dll

См. также раздел

Стандартные классы потребителей

Создание логического потребителя

Получение событий в любое время

__EventConsumer