Sie sind hier: Startseite | Wissen

Was ist Ereignisprotokoll?

Der Zugriff mit dem .NET Framework auf die Windows-Ereignisprotokolle, die Sie mit der Windows-Ereignisanzeige einsehen können, ist auf den ersten Blick fast selbsterklärend, die Tücken stecken aber im Detail. Sie benötigen drei Klassen:
 EventLog repräsentiert ein Ereignisprotokoll (z. B. Anwendung, System). Das Anlegen eigener Proto-kolle ist über diese Klasse möglich.
 EventLogEntryCollection ist die Auflistung der Einträge in einem Ereignisprotokoll.
 EventLogEntry ist eine Klasse für einzelne Einträge.

Beispiel 1: Lesen vorhandener Einträge

Die folgende Unterroutine listet die letzten zwanzig Einträge aus dem Windows-Anwendungsprotokoll auf.

// Auslesen von Einträgen aus einem Ereignisprotokoll
public void EreignisprotokollEintraege_Lesen()
{
   // Name des Ereignisprotokolls
   string logname = "Application";
   // Anzahl der auszugebenden Einträge
   long anzahl = 20;
   // Zähler
   long count = 0;
   // -- Zugriff auf das Ereignisprotokoll
   EventLog log = new EventLog(logname);
   Demo.Print("Letzte " + anzahl.ToString() + " Einträge von " + log.Entries.Count +
   " Einträgen aus dem Protokoll " + log.Log + " auf dem Computer " + log.MachineName);
   // Schleife über alle Einträge
   foreach (EventLogEntry eintrag in log.Entries)
   {
   count += 1;
   if (count > log.Entries.Count - anzahl)
   {
   Demo.Print(eintrag.EntryType + ":" +
   eintrag.InstanceId + ":" +
   eintrag.Category + ":" +
   eintrag.Message + ":" +
   eintrag.Source + ":" +
   eintrag.TimeGenerated + ":" +
   eintrag.TimeWritten + ":" +
   eintrag.UserName + ":");
   }
   }
}
Listing: Auslesen des Windows-Anwendungsprotokolls [Eventlog.cs]

Sie können mit den .NET-Klassen nicht in den Ereignisprotokollen suchen. Wenn Sie diese Funktionalität benötigen, müssen Sie auf die WMI-Klasse Win32_EventLogEntry ausweichen.

Beispiel 2: Anlegen eines Ereignisprotokolleintrags

Nach dem vorherigen Beispiel könnte man vermuten, dass die Methode WriteEntry() in der Klasse EventLog dazu dient, einen neuen Eintrag in ein Ereignisprotokoll zu schreiben, das zuvor instanziiert wurde. Allerdings ist WriteEntry() eine statische Methode, die zudem keinen Parameter für den Ereignis-protokollnamen bietet, sondern nur die Angabe einer Ereignisquelle erlaubt. Daher muss man zunächst eine Ereignisquelle mit CreateEventSource() erzeugen. Hier allerdings ist das .NET Framework sehr komfor-tabel: Man kann einen Ereignisquellennamen mit einem Ereignisprotokoll auf einem bestimmten Computer assoziieren, und das .NET Framework legt das Protokoll neu an, falls es nicht existiert. Beachten muss man nur, dass man für jedes Protokoll, das man beschreiben möchte, eine eigene Ereignisquelle benötigt.

// Erzeugung eines neuen Eintrags in einem Ereignisprotokoll
public void EreignisprotokollEintrag_Schreiben()
  {
   string logname = "N2C-Buch";
   string source = "N2C-StartStop";
   string computer = "Essen";
   // Quelle und ggf. Ereignisprotokoll anlegen
   if (!EventLog.SourceExists(source, computer))
   {
   EventSourceCreationData escd = new EventSourceCreationData(source, logname);
   escd.MachineName = computer;
   EventLog.CreateEventSource(escd);
   Demo.Print("Quelle angelegt!");
   }
   // Eintrag schreiben
   EventLog.WriteEntry(source, "Anwendung gestartet", EventLogEntryType.Information, 1234);
   // Bildschirmausgabe
   Demo.Print("Eintrag geschrieben!");
}
Listing: Schreiben in ein anwendungsspezifisches Ereignisprotokoll [Eventlog.cs]

Beratung & Support:

Schulungen zu diesem Thema:

 Anfrage für eine individuelle Schulung zum Thema Ereignisprotokoll  Gesamter Schulungsthemenkatalog