为什么此事件日志的EntryWritten事件永远不会触发?

时间:2009-05-14 16:11:42

标签: c# windows-services event-log

我在C#控制台应用程序和C#窗口服务中都有以下代码。它适用于控制台应用程序。它获取指定的事件,并正确调用MatchEvent()。 C#windows服务中的相同代码不会获取相同的指定事件,它从不会看到它,但会看到其他事件。有问题的事件将写入应用程序日志,因此我不会尝试阅读安全日志。

我认为这是一个帐户权限问题(该服务作为LocalSystem运行)。我更改了服务以使用与运行consoleapp相同的帐户,我仍然看到相同的行为。我确认没有使用GP或自定义注册表来更改权限(这是一个全新安装的操作系统),并且两个应用程序使用的帐户都是localadmin。

我有什么遗失的吗?我也研究了EventLogPermission,但这似乎并不适用,因为我从eventLog中获取了事件。

代码:

private void WatchLogs()
{
    try
    {
        _eventLogs = EventLog.GetEventLogs();

        foreach (EventLog eventLog in _eventLogs)
        {
            if (eventLog.LogDisplayName.Contains("Security"))
            {
                _logger.DebugFormat(string.Format("{0}: not watching", eventLog.LogDisplayName));
            }
            else
            {
                eventLog.EntryWritten += EventLogEntryWritten;
                eventLog.EnableRaisingEvents = true;

                if (_logger.IsInfoEnabled)
                {
                    _logger.InfoFormat("Monitoring: {0} | Raising Events: {1}", eventLog.LogDisplayName,
                                       eventLog.EnableRaisingEvents);
                }
            }
        }
    }
    catch (Win32Exception ee)
    {
        _logger.DebugFormat(string.Format("{0}: not watching({1})", eventLog.LogDisplayName, ee.Message));
    }
    catch (SecurityException securityException)
    {
        _logger.ErrorFormat("Error accessing eventlog: {0} : {1}", eventLog.LogDisplayName, securityException.Message);
    }
}

private void EventLogEntryWritten(object sender, EntryWrittenEventArgs currentEvent)
{
  var log = (EventLog) sender;

  if (_logger.IsDebugEnabled)
    _logger.DebugFormat(
      "Event Raised: |Log:{0}|Source:{1}|EventID:{2}|",log.LogDisplayName,
        currentEvent.Entry.Source,currentEvent.Entry.EventID);

  MatchEvent(currentEvent);
}

2 个答案:

答案 0 :(得分:0)

一直在乱搞这个。虽然我仍然不能100%肯定,但似乎发生了以下情况:

  • 事件是集群事件,等等 可以从任一节点写入 本地系统,但EventLog 上课只收集事件 本地。
  • 系统响应 只有最后一个WriteEntry()方法 写事件发生至少六次 几秒钟。我是的事件 寻找发生在几秒钟内 彼此,被淹没了 其他相关但不重要的 事件。

任何对此的确认都会有所帮助。此处获取的信息:msdn

答案 1 :(得分:0)

是的,如果事件发生在轮询间隔内,则会错过事件。您可以使用WMI(通过System.Management)来更改轮询间隔。 This是一篇较旧的文章,但它会为您提供执行此操作所需的信息。请参阅管理事件部分。

您还需要在单独的线程上执行WriteEntry(如果您也要写入事件日志),这样就不会阻止接收事件。

相关问题
最新问题