Ereignisprotokoll
Eintrag zuletzt aktualisiert am: 23.07.2012
Der Zugriff mit dem
.NET Framework auf die Windows-Ereignisprotokolle, die Sie mit der Windows-Ereignisanzeige einsehen können, ist auf den ersten Blick fast selbsterklärend, die Tücken stecken aber im Detail. Sie benötigen drei Klassen:
EventLog repräsentiert ein Ereignisprotokoll (z. B. Anwendung, System). Das Anlegen eigener Proto-kolle ist über diese Klasse möglich.
EventLogEntryCollection ist die Auflistung der Einträge in einem Ereignisprotokoll.
EventLogEntry ist eine Klasse für einzelne Einträge.
Beispiel 1: Lesen vorhandener Einträge
Die folgende Unterroutine listet die letzten zwanzig Einträge aus dem Windows-Anwendungsprotokoll auf.
// Auslesen von Einträgen aus einem Ereignisprotokoll
public void EreignisprotokollEintraege_Lesen()
{
// Name des Ereignisprotokolls
string logname = "Application";
// Anzahl der auszugebenden Einträge
long anzahl = 20;
// Zähler
long count = 0;
// -- Zugriff auf das Ereignisprotokoll
EventLog log = new EventLog(logname);
Demo.Print("Letzte " + anzahl.ToString() + " Einträge von " + log.Entries.Count +
" Einträgen aus dem Protokoll " + log.Log + " auf dem Computer " + log.MachineName);
// Schleife über alle Einträge
foreach (EventLogEntry eintrag in log.Entries)
{
count += 1;
if (count > log.Entries.Count - anzahl)
{
Demo.Print(eintrag.EntryType + ":" +
eintrag.InstanceId + ":" +
eintrag.Category + ":" +
eintrag.Message + ":" +
eintrag.Source + ":" +
eintrag.TimeGenerated + ":" +
eintrag.TimeWritten + ":" +
eintrag.UserName + ":");
}
}
}
Listing: Auslesen des Windows-Anwendungsprotokolls [Eventlog.cs]
Sie können mit den .NET-Klassen nicht in den Ereignisprotokollen suchen. Wenn Sie diese Funktionalität benötigen, müssen Sie auf die
WMI-Klasse Win32_EventLogEntry ausweichen.
Beispiel 2: Anlegen eines Ereignisprotokolleintrags
Nach dem vorherigen Beispiel könnte man vermuten, dass die
Methode WriteEntry() in der Klasse EventLog dazu dient, einen neuen Eintrag in ein Ereignisprotokoll zu schreiben, das zuvor instanziiert wurde. Allerdings ist WriteEntry() eine statische
Methode, die zudem keinen Parameter für den Ereignis-protokollnamen bietet, sondern nur die Angabe einer Ereignisquelle erlaubt. Daher muss man zunächst eine Ereignisquelle mit CreateEventSource() erzeugen. Hier allerdings ist das
.NET Framework sehr komfor-tabel: Man kann einen Ereignisquellennamen mit einem Ereignisprotokoll auf einem bestimmten Computer assoziieren, und das
.NET Framework legt das Protokoll neu an, falls es nicht existiert. Beachten muss man nur, dass man für jedes Protokoll, das man beschreiben möchte, eine eigene Ereignisquelle benötigt.
// Erzeugung eines neuen Eintrags in einem Ereignisprotokoll
public void EreignisprotokollEintrag_Schreiben()
{
string logname = "N2C-Buch";
string source = "N2C-StartStop";
string computer = "Essen";
// Quelle und ggf. Ereignisprotokoll anlegen
if (!EventLog.SourceExists(source, computer))
{
EventSourceCreationData escd = new EventSourceCreationData(source, logname);
escd.MachineName = computer;
EventLog.CreateEventSource(escd);
Demo.Print("Quelle angelegt!");
}
// Eintrag schreiben
EventLog.WriteEntry(source, "Anwendung gestartet", EventLogEntryType.Information, 1234);
// Bildschirmausgabe
Demo.Print("Eintrag geschrieben!");
}
Listing: Schreiben in ein anwendungsspezifisches Ereignisprotokoll [Eventlog.cs]