我尝试使用函数EvtSubscribe订阅即将发生的事件:
hsubscription = microsoft_EvtSubscribe(
NULL, // session
NULL, // signal
NULL, // channel path
L"<QueryList><Query Id="0" Path='Application'><Select>*[System[EventRecordID >= 1037374]]</Select></Query></QueryList>" // query
NULL, // bookmark
context, // context
clbk, // callback
EvtSubscribeToFutureEvents // flags
);
但回调从未被回调过。
我尝试了几种使用XPath +频道路径的方法:Event/System[EventRecordID=1037374],*[System/EventRecordID=1037374],但它既不起作用也不起作用。
顺便说一句,每当为任何其他领域创建订阅时(例如:*[System/Computer="windows-build"]),一切都运行良好。
我做错了什么? 感谢