我需要从Windows收集10秒前记录的事件日志。使用pull订阅我可以在执行程序之前收集已保存的日志,并在程序运行时保存日志。我尝试使用MSDN上提供的代码:
"我需要开始收集10秒前记录的事件"。在这里,我认为我需要设置LPWSTR pwsQuery的值才能实现这一目标。
L"*[System/Level= 2]"给出等级为2的事件。
L"*[System/EventID= 4624]"给出eventID为4624的事件。
L"*[System/Level < 1]"为事件提供等级&lt; 2。
就像我需要设置pwsQuery的值以使事件记录在10秒附近。我能以同样的方式做吗?如果是这样的话?如果没有其他方法呢?