Compartilhar via


Função EvtQuery (winevt.h)

Executa uma consulta para recuperar eventos de um canal ou arquivo de log que correspondem aos critérios de consulta especificados.

Sintaxe

EVT_HANDLE EvtQuery(
  [in] EVT_HANDLE Session,
  [in] LPCWSTR    Path,
  [in] LPCWSTR    Query,
  [in] DWORD      Flags
);

Parâmetros

[in] Session

Um identificador de sessão remota que a função EvtOpenSession retorna. Defina como NULL para consultar eventos no computador local.

[in] Path

O nome do canal ou o caminho completo para um arquivo de log que contém os eventos que você deseja consultar. Você pode especificar um arquivo de log .evt, .evtx ou.etl. O caminho será necessário se o parâmetro Query contiver uma consulta XPath; o caminho será ignorado se o parâmetro Query contiver uma consulta XML estruturada e a consulta especificar o caminho.

[in] Query

Uma consulta que especifica os tipos de eventos que você deseja recuperar. Você pode especificar uma consulta XPath 1.0 ou uma consulta XML estruturada. Se o XPath contiver mais de 20 expressões, use uma consulta XML estruturada. Para receber todos os eventos, defina esse parâmetro como NULL ou "*".

[in] Flags

Um ou mais sinalizadores que especificam a ordem que você deseja receber os eventos e se você está consultando em um canal ou arquivo de log. Para obter valores possíveis, consulte a enumeração EVT_QUERY_FLAGS .

Retornar valor

Um identificador para os resultados da consulta se tiver êxito; caso contrário, NULL. Se a função retornar NULL, chame a função GetLastError para obter o código de erro.

Comentários

Para obter eventos dos resultados da consulta, chame a função EvtNext . Para recuperar eventos que começam com um evento específico nos resultados, chame a função EvtSeek .

Você deve chamar a função EvtClose com o identificador de resultados da consulta quando terminar.

Você só deve usar o identificador de consulta que essa função retorna no mesmo thread que criou o identificador.

Exemplos

Para obter um exemplo que mostra como usar essa função, consulte Consultando eventos.

Requisitos

Requisito Valor
Cliente mínimo com suporte Windows Vista [somente aplicativos da área de trabalho]
Servidor mínimo com suporte Windows Server 2008 [somente aplicativos da área de trabalho]
Plataforma de Destino Windows
Cabeçalho winevt.h
Biblioteca Wevtapi.lib
DLL Wevtapi.dll

Confira também

EvtNext

EvtSeek

EvtSubscribe