如何查询事件日志时创建EventBookmark(How to create an EventBoo

我有一个EventLogReader对象，并在看起来像这样的事件日志的查询：

string query = "*[System[(Level=2) and TimeCreated[@SystemTime>='%LastRun%']]]")

该代码基本上使用的阅读器来查询所有符合自上次读者已运行搜索查询的事件。

我宁愿用EventBookmark用于此目的。这就是它是对的，毕竟！但我无法找到任何工作代码。

我现有的代码运行，部分是这样的：

// This line replaces the %LastRun% code with the date
var myQuery = myEventLogQuery.Query.Replace("%LastRun%", myEventLogQuery.LastRun.ToString("o"));
var query = new EventLogQuery(myEventLogQuery.Log, myEventLogQuery.PathType, myQuery);

// Now set the LastRun date. I want to avoid this...
myEventLogQuery.LastRun = DateTime.UtcNow;

// ... by making this next line smarter.
var reader = new EventLogReader(query);
// var reader = new EventLogReader(query, ??? new EventBookmark());

EventRecord eventRecord;
while ((eventRecord = reader.ReadEvent()) != null)
{
    EventRecords.Add(new EventRecordItem(eventRecord));
}

我应该能够使用第一（或最后）EventRecord限制一个查询的EventBookmark财产，但我想最初设定的EventBookmark是基本日志中的最高纪录。

当应用程序运行开始，我并不需要它告诉我过去所有的事件日志条目，我只关心在应用程序启动后发生的。

OK，我继续尝试了很多，并设法制定出一个良好的制度这一点。由于这个话题真不是盖的，我在这里发布我的回答。我希望这是有用的！

第一个挑战是创建初始EventBookmark。你不能只是一个实例。你需要得到一个从现有EventRecord。要做到这一点，我查询日志中的最后一个项目，并立足于我EventBookmark。

using System.Diagnostics.Eventing.Reader;
public class MyEventLogQuery
{
    public string Log { get; set; }
    public PathType PathType { get; set; }
    public string Query { get; set; }
    public EventBookmark Bookmark { get; set; }

    public MyEventLogQuery(string log = "Application", PathType pathType = PathType.LogName, string query = "*[System[(Level=2)]]")
    {
        Log = log;
        PathType = pathType;
        Query = query;
        Bookmark = GetBookmark(log, pathType); // Query is not important here
    }

    // This method returns the bookmark of the most recent event
    // log EventRecord or null if the log is empty
    private static EventBookmark GetBookmark(string log, PathType pathType)
    {
        var elq = new EventLogQuery(log, pathType) {ReverseDirection = true};

        var reader = new EventLogReader(elq);
        var record = reader.ReadEvent();
        if (record != null)
            return record.Bookmark;
        return null;
    }
}

下一步骤是使用书签（或缺乏书签的）当随后查询事件日志。

using System.Diagnostics.Eventing.Reader;
public class EventLogTracker()
{
    public List<MyEventLogQuery> Queries { get; set; }

    // ... snipped some stuff
    public int Run()
    {
        var count = 0;
        foreach (var myQuery in Queries)
        {
            var query = new EventLogQuery(myQuery.Log, myQuery.PathType, myQuery.Query);

            // This is the important bit. Must take account that the
            // log may have been empty, so bookmark could be null
            var reader = myQuery.Bookmark != null ? new EventLogReader(query, myQuery.Bookmark) : new EventLogReader(query);
            EventRecord eventRecord;
            while ((eventRecord = reader.ReadEvent()) != null)
            {
                // Do stuff
                // ...
                // Then update the bookmark
                myQuery.Bookmark = eventRecord.Bookmark;
                count++;
            }
        }
        return count;
    }

瞧，你有一个使用EventBookmark只给你自应用程序启动以来发生的事件代码。