最近在寫Windows Task Scheduler相關的功能,想取某Task的EventLog,但用System.Diagnostics.EventLog只能取得基本的EventLog,後來發現應該要使用System.Diagnostics.Eventing.Reader.EventLogReader,而且EventLogReader可以下查詢,過濾出所需的資料。
System.Diagnostics.EventLog的限制
我用Reflector看過原始碼,看到EventLog這個Class,只能取得
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog 這個機碼下的根EventLog,不巧Task Scheduler不在這之中。
圖1 EventLog的機碼
圖2 剛好就是事件檢視器中,比較豐富ICON的EventLog
如果要取得EventLog剛好不在之中的話,請改用System.Diagnostics.Eventing.Reader.EventLogReader
System.Diagnostics.Eventing.Reader.EventLogReader使用說明
建立EventLogReader,有二個方法
- LogName
- FilePath
預設值是LogName,如果不知道這二個值,可以用事件檢視器取得
在要想要看EventLog上按右鍵
全名就是LogName,記錄檔路徑就是FilePath
不含查詢的語法建構式
var eventLog = new EventLogReader("Microsoft-Windows-TaskScheduler/Operational");
var eventLog = new EventLogReader(Path.Combine(Environment.SystemDirectory, @"Winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx"), PathType.FilePath);
但是因為這一個EventLog是記錄所有Task的Log,勢必要加查詢條件(如果你想全部取出在自己寫Code分,也行),這時建構式要換成EventLogQuery
//如果是屬性用@如 *[System/Provider/@Name=\"A\"]
string queryStr = string.Format("*[EventData/Data=\"{0}\"]", task.Path);
EventLogQuery query = new EventLogQuery("Microsoft-Windows-TaskScheduler/Operational", PathType.LogName, queryStr);
EventLogReader eventLog = new EventLogReader(query);
如果不清楚查詢的元素有那些,可以隨便打開一個Log,看它的事件內容,查詢的元素完全等於它的XML
圖3 事件內容
範例
public static List<EventRecord> GetHistory(this IRegisteredTask task, int take = 30)
{
string queryStr = string.Format("*[EventData/Data=\"{0}\"]", task.Path);
EventLogQuery query = new EventLogQuery("Microsoft-Windows-TaskScheduler/Operational", PathType.LogName, queryStr);
EventLogReader eventLog = new EventLogReader(query);
var result = new List<EventRecord>();
EventRecord log = eventLog.ReadEvent();
while (log != null)
{
result.Add(log);
if (result.Count >= take)
{
break;
}
log = eventLog.ReadEvent();
}
return result;
}
NOTE:
如果要取TaskScheduler的EventLog,別忘了啟用記錄。
測試平台
Windows 7、Windows Server 2008
