Fatal编程技术网
  • csharp/
  • C# 为什么要记录此事件';谁的参赛作品永远不会开火?

C# 为什么要记录此事件';谁的参赛作品永远不会开火?

c# windows-services

C# 为什么要记录此事件';谁的参赛作品永远不会开火?,c#,windows-services,event-log,C#,Windows Services,Event Log,我在C#控制台应用程序和C#windows服务中都有以下代码。它在控制台应用程序中工作。它拾取指定的事件,并正确调用MatchEvent()。C#windows服务中的同一代码不会拾取相同的指定事件,它不会看到它,而是看到其他事件。有问题的事件已写入应用程序日志,因此我不尝试读取安全日志 我认为这是一个帐户权限问题(服务以LocalSystem运行)。我将服务更改为使用与运行consoleapp时相同的帐户,但仍然看到相同的行为。我验证了GP或自定义注册表没有做任何更改权限的操作(这是一个新安装

我在C#控制台应用程序和C#windows服务中都有以下代码。它在控制台应用程序中工作。它拾取指定的事件,并正确调用MatchEvent()。C#windows服务中的同一代码不会拾取相同的指定事件,它不会看到它,而是看到其他事件。有问题的事件已写入应用程序日志,因此我不尝试读取安全日志

我认为这是一个帐户权限问题(服务以LocalSystem运行)。我将服务更改为使用与运行consoleapp时相同的帐户,但仍然看到相同的行为。我验证了GP或自定义注册表没有做任何更改权限的操作(这是一个新安装的操作系统),并且两个应用程序使用的帐户都是localadmin

我有什么遗漏吗?我也研究了EventLogPermission,但这似乎不适用,因为我正在从eventLog中获取事件

守则:

private void WatchLogs()
{
    try
    {
        _eventLogs = EventLog.GetEventLogs();

        foreach (EventLog eventLog in _eventLogs)
        {
            if (eventLog.LogDisplayName.Contains("Security"))
            {
                _logger.DebugFormat(string.Format("{0}: not watching", eventLog.LogDisplayName));
            }
            else
            {
                eventLog.EntryWritten += EventLogEntryWritten;
                eventLog.EnableRaisingEvents = true;

                if (_logger.IsInfoEnabled)
                {
                    _logger.InfoFormat("Monitoring: {0} | Raising Events: {1}", eventLog.LogDisplayName,
                                       eventLog.EnableRaisingEvents);
                }
            }
        }
    }
    catch (Win32Exception ee)
    {
        _logger.DebugFormat(string.Format("{0}: not watching({1})", eventLog.LogDisplayName, ee.Message));
    }
    catch (SecurityException securityException)
    {
        _logger.ErrorFormat("Error accessing eventlog: {0} : {1}", eventLog.LogDisplayName, securityException.Message);
    }
}

private void EventLogEntryWritten(object sender, EntryWrittenEventArgs currentEvent)
{
  var log = (EventLog) sender;

  if (_logger.IsDebugEnabled)
    _logger.DebugFormat(
      "Event Raised: |Log:{0}|Source:{1}|EventID:{2}|",log.LogDisplayName,
        currentEvent.Entry.Source,currentEvent.Entry.EventID);

  MatchEvent(currentEvent);
}
断断续续地胡闹。尽管我仍然不能百分之百确定,但似乎发生了以下情况:

  • 这些事件是集群事件,等等 可以从任一节点写入到 本地系统,但事件日志 类仅拾取writer中的事件 在当地
  • 系统响应 仅当最后一个 写入事件至少发生了六次 每秒钟。我所经历的事件 在几秒钟内就发生了寻找 他们互相攻击,并被 其他相关,但不重要 事件
对此的任何确认都会有所帮助。此处获得的信息:

是,如果事件发生在轮询范围内,您将错过这些事件。您可以使用WMI(通过System.Management)更改轮询间隔。是一篇较旧的文章,但它将为您提供执行此操作所需的信息。请参阅管理事件一节

您还需要在一个单独的线程上执行WriteEntry(如果您也在写入事件日志),这样就不会阻止接收事件。

如果重新写入,这个“订阅”可以吗“像.NET类那样访问事件日志?是的,绝对如此。您必须阅读WMI中的管理事件。VS2008中的服务器资源管理器(可能也在2005年,但我不记得了)有一个WMI节点。您可以右键单击这些选项以获得生成代码的选项,以及一些对话框,这些对话框将帮助您发送事件处理程序等。。。。所有这些功能过去都是在一个单独的可下载的插件中,我最近没有使用它-内置版本,但基本上是一样的。查看文章的链接,了解我的意思。