IMHO.WS - Журнал аудита в Windows 2000

IMHO.WS (http://www.imho.ws/index.php)

- Программирование (http://www.imho.ws/forumdisplay.php?f=40)

- - Журнал аудита в Windows 2000 (http://www.imho.ws/showthread.php?t=63674)

PhoeniX

08.07.2004 21:50

Журнал аудита в Windows 2000

Нужно написать на Builder работу с журналом аудита. Конкретно: параметры аудита, анализ журнала аудита, удаление журнала от имени System, выборочное удаление записей. Подскажите кто знает, а еще лучше киньте ссылки, где все нормально изложено лучше на русском языке.

gandalf_g

09.07.2004 15:31

все записи лежат тут:
SYSTEM\\CurrentControlSet\\Services\\EventLog

API соответствующий не нашел, есть примеры которые пишут в лог, а вот чтобы управлять логом.. :confused:

PhoeniX

26.07.2004 22:34

Нашел функции API:
OpenEventLog
ReadEventLog - заполняет структуру EVENTLOGRECORD
ClearEventLog
CloseEventLog

Проблема: номера некоторых событий отражаются неверно: например, событие номер 4097 отображается, как 1073745921
событие номер 542 отображается, как 1269629470
и т.д.
Что это может быть?

Также неплохо бы было найти подробное описание этих функций.

Кстати, так и не нашел ничего, через что можно былобы удалять отдельные события.

joker99

27.07.2004 01:01

А здесь смотрел?
http://msdn.microsoft.com/library/en...asp?frame=true

arcman

11.11.2004 18:50

Цитата:

Проблема: номера некоторых событий отражаются неверно: например, событие номер 4097 отображается, как 1073745921 событие номер 542 отображается, как 1269629470 и т.д. Что это может быть?

Номер события кодируется в младшем слове (первые 16 бит)

Часовой пояс GMT +4, время: 00:22.