最近在寫Windows Task Scheduler相關的功能,想取某Task的EventLog,但用System.Diagnostics.EventLog只能取得基本的EventLog,後來發現應該要使用System.Diagnostics.Eventing.Reader.EventLogReader,而且EventLogReader可以下查詢,過濾出所需的資料。
System.Diagnostics.EventLog的限制
我用Reflector看過原始碼,看到EventLog這個Class,只能取得
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog 這個機碼下的根EventLog,不巧Task Scheduler不在這之中。
圖1 EventLog的機碼
圖2 剛好就是事件檢視器中,比較豐富ICON的EventLog
如果要取得EventLog剛好不在之中的話,請改用System.Diagnostics.Eventing.Reader.EventLogReader
System.Diagnostics.Eventing.Reader.EventLogReader使用說明
建立EventLogReader,有二個方法
- LogName
- FilePath
預設值是LogName,如果不知道這二個值,可以用事件檢視器取得
在要想要看EventLog上按右鍵
全名就是LogName,記錄檔路徑就是FilePath
不含查詢的語法建構式
1 2 | var eventLog = new EventLogReader("Microsoft-Windows-TaskScheduler/Operational");var eventLog = new EventLogReader(Path.Combine(Environment.SystemDirectory, @"Winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx"), PathType.FilePath); |
但是因為這一個EventLog是記錄所有Task的Log,勢必要加查詢條件(如果你想全部取出在自己寫Code分,也行),這時建構式要換成EventLogQuery
1 2 3 4 | //如果是屬性用@如 *[System/Provider/@Name=\"A\"]string queryStr = string.Format("*[EventData/Data=\"{0}\"]", task.Path);EventLogQuery query = new EventLogQuery("Microsoft-Windows-TaskScheduler/Operational", PathType.LogName, queryStr);EventLogReader eventLog = new EventLogReader(query); |
如果不清楚查詢的元素有那些,可以隨便打開一個Log,看它的事件內容,查詢的元素完全等於它的XML
圖3 事件內容
範例
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | public static List<EventRecord> GetHistory(this IRegisteredTask task, int take = 30){ string queryStr = string.Format("*[EventData/Data=\"{0}\"]", task.Path); EventLogQuery query = new EventLogQuery("Microsoft-Windows-TaskScheduler/Operational", PathType.LogName, queryStr); EventLogReader eventLog = new EventLogReader(query); var result = new List<EventRecord>(); EventRecord log = eventLog.ReadEvent(); while (log != null) { result.Add(log); if (result.Count >= take) { break; } log = eventLog.ReadEvent(); } return result;} |
NOTE:
如果要取TaskScheduler的EventLog,別忘了啟用記錄。
測試平台
Windows 7、Windows Server 2008
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· 展开说说关于C#中ORM框架的用法!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?