读取 Hyper-V 事件日志

【问题标题】:Reading Hyper-V event logs读取 Hyper-V 事件日志
【发布时间】:2017-06-05 17:40:01
【问题描述】:

作为我们使用的监控系统的一部分,我需要能够检索 Hyper-V 的事件日志条目。目前我使用 VBScript 和 WMI 并执行以下操作:

query = "Select * from Win32_NTLogEvent where LogFile = 'System' and TimeGenerated >= '" & last_check & "'"
set wmi_objectset = wmi_service.ExecQuery(query, "WQL", &h30)

这工作正常,但它只检索一些 Hyper-V 日志而不是全部。一些谷歌搜索表明没有办法解决这个问题,并且 MS 还没有建立将所有 Hyper-V 日志读入 WMI 的能力。所以我需要一种不同的方法。

更多谷歌搜索发现了一些用于读取事件日志的 C# 代码,这会很好,因为我很高兴使用 C# 而不是 VBScript。问题是,虽然我可以阅读标准日志,如 SystemApplication,但我不知道如何阅读我想要的 Hyper-V 日志。代码如下:

eventLog = new EventLog();
eventLog.Log = eventLogName;

foreach (EventLogEntry log in eventLog.Entries)
{

如果我将 eventLogName 设置为“System”,那么它会工作并读回所有日志条目(而且速度非常快)。但我需要的是来自日志 Microsoft-Windows-Hyper-V-VMMS-Admin 的条目。如果我将 eventLogName 设置为“Microsoft-Windows-Hyper-V-VMMS-Admin”,则会出现异常:

Unhandled Exception: System.InvalidOperationException: The event log 'Microsoft-Windows-Hyper-V-VMMS-Admin' on computer '.' does not exist.

日志确实存在,PowerShell命令:

Get-WinEvent -LogName Microsoft-Windows-Hyper-V-VMMS-Admin

确实检索事件,因此问题可能只是为 EventLog 对象指定日志名称的正确方法。

所以我的问题只是在我的 C# 程序中使用什么来获取 Hyper-V VMMS 管理日志中的条目。

我正在测试的服务器是 2012R2,但我认为问题与 Windows 的确切版本无关。还有其他获取日志数据的方法,例如 Get-WinEvent 或 wevtutil,但我更愿意让 C# 程序工作,并且使用替代方法是最后的手段。

【问题讨论】:

    标签: c# scripting event-log


    【解决方案1】:

    这是因为System.Diagnostics.EventLog 仅支持“旧式”事件日志。 “新样式”事件日志是您在“应用程序和服务日志”下的事件查看器中看到的那些(然后是子文件夹,而不是直接在其中的子文件夹),它不支持阅读这些。要阅读这些内容,您需要使用System.Diagnostics.Eventing.Reader 中提供的类。请注意,它们具有不同的界面,更适合实时事件检索。示例代码:

    using (var reader = new EventLogReader("Microsoft-Windows-Hyper-V-VMMS-Admin")) {
    EventRecord eventRecord;
    while ((eventRecord = reader.ReadEvent()) != null) {
        Console.WriteLine("{0:s} {1}", eventRecord.TimeCreated, eventRecord.FormatDescription());
    }
}

    如果您对最新事件特别感兴趣,则以相反的顺序查询它们并以这种方式过滤它们会更有效。使用一个小的枚举器助手,我们可以在 LINQ 中添加:

    IEnumerable<EventRecord> ReadEventsReverse(string logName) {
    using (
        var reader = new EventLogReader(
            new EventLogQuery(logName, PathType.LogName) { ReverseDirection = true }
        )
    ) {
        EventRecord eventRecord;
        while ((eventRecord = reader.ReadEvent()) != null) {
            yield return eventRecord;
        }
    }   
}

    然后

    var reverseEvents = ReadEventsReverse("Microsoft-Windows-Hyper-V-VMMS-Admin");
var reverseEventsToday = reverseEvents.TakeWhile(e => e.TimeCreated >= DateTime.Now.Date);
foreach (var eventRecord in reverseEventsToday) {
    Console.WriteLine("{0:s} {1}", eventRecord.TimeCreated, eventRecord.FormatDescription());
}

    如果您对阅读新事件特别感兴趣,使用the overload 会更有效,它允许您提供bookmark,这样您就不会不断地重新阅读和过滤旧事件。

    【讨论】:

    • 有效!谢谢 Jeroen :-) 我曾尝试使用 EventLogQuery/EventLogReader 但显然弄错了参数。无论如何,它现在正在工作。
    猜你喜欢
    • 2023-03-23
    • 2011-03-10
    • 1970-01-01
    • 2021-11-21
    • 1970-01-01
    • 1970-01-01
    • 2015-08-28
    • 1970-01-01
    • 2012-11-22
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode