Abfrageschema
Das Abfrageschema definiert die folgenden Elemente und Typen, mit denen Sie eine strukturierte XML-Abfrage schreiben können, um Ereignisse aus einem Kanal oder einer Protokolldatei abzurufen:
Der Abschnitt elements enthält die Namen der Elemente, die Sie in Ihrer Abfrage verwenden. Um jedoch die Details für jedes Element abzurufen, sehen Sie sich den komplexen Typ an, der das Element enthält.
Eine Abfrage kann einen oder mehrere XPath-Ausdrücke enthalten, die verwendet werden, um Ereignisse in das Abfrageresultset einzuschließen oder auszuschließen. Sie können Ereignisse aus mehreren Kanälen oder Protokolldateien abfragen, aber Sie können keine Kanäle und Protokolldateien mischen. Sie können eine Abfrage in jeder Funktion verwenden, die einen XPath verwendet (z. B. die Funktionen EvtQuery oder EvtSubscribe). Jeder angegebene XPath ist auf 32 Ausdrücke beschränkt. Ein Beispiel finden Sie unter Nutzen von Ereignissen.
Das Windows SDK enthält das Schema in der \ \ Include Query.xsd-Datei.
Zusätzlich zum Abfrageschema definiert Windows Ereignisprotokoll auch die folgenden Schemas:
- EventManifest-Schema: Definiert die Elemente und Typen, die zum Schreiben eines Instrumentierungsmanifests verwendet werden.
- Ereignisschema: Definiert die Elemente und Typen, die zum Rendern eines Ereignisses verwendet werden.