Recherche structure du fichier observateur d’événement Windows 7
Résolu
patou41000
Messages postés
6
Date d'inscription
samedi 8 avril 2006
Statut
Membre
Dernière intervention
3 novembre 2019
-
Modifié le 31 oct. 2019 à 21:32
patou41000 Messages postés 6 Date d'inscription samedi 8 avril 2006 Statut Membre Dernière intervention 3 novembre 2019 - 3 nov. 2019 à 11:05
patou41000 Messages postés 6 Date d'inscription samedi 8 avril 2006 Statut Membre Dernière intervention 3 novembre 2019 - 3 nov. 2019 à 11:05
A voir également:
- Recherche structure du fichier observateur d’événement Windows 7
- Patron observateur - Conseils pratiques -C# / .NET
- Winhlp32.exe windows 7 ✓ - Forum Delphi / Pascal
- Fichier .ini - Conseils pratiques -Visual Basic / VB.NET
- Vb.net structure ✓ - Forum VB.NET
- Installer delphi ds150e sur windows 7 - Forum Delphi / Pascal
6 réponses
vb95
Messages postés
3472
Date d'inscription
samedi 11 janvier 2014
Statut
Contributeur
Dernière intervention
13 avril 2024
169
31 oct. 2019 à 22:06
31 oct. 2019 à 22:06
Bonsoir
tu as toutes les informations ici : https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-even/541de33d-cee4-4c16-976c-e1e2ea152e65
tu as toutes les informations ici : https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-even/541de33d-cee4-4c16-976c-e1e2ea152e65
vb95
Messages postés
3472
Date d'inscription
samedi 11 janvier 2014
Statut
Contributeur
Dernière intervention
13 avril 2024
169
Modifié le 1 nov. 2019 à 04:22
Modifié le 1 nov. 2019 à 04:22
Bonsoir
Les infos dans mon lien sont du 14/02/2019
Dans ta structure tu as les 16 premiers champs .( Length à DataOffset )
Que fais-tu des champs 17 à 24 ( SourceName, ComputerName, UserSidPadding, Usersid, Strings, Data, Padding et Length2 )
Les champs 17 à 23 sont de taille variable alors que le champ 24 (Length2) est un Long sur 4 octets .
Si tu ne les prends pas en compte et que tu ne calcules pas la taille en octets qu'ils occupent dans l'enregistrement cela cause des dysfonctionnements .
De plus certains champs variables sont dans certains cas omis si leur valeur est nulle .
Sous XP tu étais en NTFS ?
Et sous Windows7 tu es aussi en NTFS ?
Autre chose : peut-être faut-il que ton projet ait les droits Administrateur ! Car là tu touches à des fonctions avancées de Windows avec les enregistrements d'évènements qui sont dans NTFS normalement !
.
Les infos dans mon lien sont du 14/02/2019
Dans ta structure tu as les 16 premiers champs .( Length à DataOffset )
Que fais-tu des champs 17 à 24 ( SourceName, ComputerName, UserSidPadding, Usersid, Strings, Data, Padding et Length2 )
Les champs 17 à 23 sont de taille variable alors que le champ 24 (Length2) est un Long sur 4 octets .
Si tu ne les prends pas en compte et que tu ne calcules pas la taille en octets qu'ils occupent dans l'enregistrement cela cause des dysfonctionnements .
De plus certains champs variables sont dans certains cas omis si leur valeur est nulle .
Sous XP tu étais en NTFS ?
Et sous Windows7 tu es aussi en NTFS ?
Autre chose : peut-être faut-il que ton projet ait les droits Administrateur ! Car là tu touches à des fonctions avancées de Windows avec les enregistrements d'évènements qui sont dans NTFS normalement !
.
vb95
Messages postés
3472
Date d'inscription
samedi 11 janvier 2014
Statut
Contributeur
Dernière intervention
13 avril 2024
169
1 nov. 2019 à 16:23
1 nov. 2019 à 16:23
Bonsoir !
Aucune idée sur le départ de chaque événement .
De plus moi je suis sous Windows 10 et je ne retrouve nullement le fichier "appevent.evt" .
NTFS a évolué depuis le début avec Windows XP .
Ce fichier existe-t-il vraiment sous Windows 7 et supérieur ?
Je ne peux guère t'aider plus .
Aucune idée sur le départ de chaque événement .
De plus moi je suis sous Windows 10 et je ne retrouve nullement le fichier "appevent.evt" .
NTFS a évolué depuis le début avec Windows XP .
Ce fichier existe-t-il vraiment sous Windows 7 et supérieur ?
Je ne peux guère t'aider plus .
patou41000
Messages postés
6
Date d'inscription
samedi 8 avril 2006
Statut
Membre
Dernière intervention
3 novembre 2019
1 nov. 2019 à 01:15
1 nov. 2019 à 01:15
Bonsoir vb95
Merci pour ce lien mais la structure "EVENTLOGRECORD" est celle que j'utilise dans mon prog pour lire les éventements pour Windows XP.
Pour les fichiers événements de Windows 7 la structure du fichier est différent et donc "EVENTLOGRECORD" ne fonctionne plus.
Je recherche donc l'équivalent du lien que tu as fourni mais pour les fichiers sous Win 7.
Cordialement,
--
Merci pour ce lien mais la structure "EVENTLOGRECORD" est celle que j'utilise dans mon prog pour lire les éventements pour Windows XP.
Pour les fichiers événements de Windows 7 la structure du fichier est différent et donc "EVENTLOGRECORD" ne fonctionne plus.
Je recherche donc l'équivalent du lien que tu as fourni mais pour les fichiers sous Win 7.
Cordialement,
--
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
patou41000
Messages postés
6
Date d'inscription
samedi 8 avril 2006
Statut
Membre
Dernière intervention
3 novembre 2019
Modifié le 1 nov. 2019 à 12:32
Modifié le 1 nov. 2019 à 12:32
Bonjour vb95 et encore merci pour ces informations vraiment passionnante. Je vais creuser sur les champs 17 à 24.
Se pendant, un truc me bloque maintenant.
Dans mon programme pour lire le fichier des événement sous Win XP, mon point de départ été le champ n°2 ou je recherchais le eLfL qui me donnée le départ de chaque nouvelle événement du fichier et en reculent de 4 octets j'avais la taille de la structure.
"Reserved (4 octets): DOIT être réglé sur 0x654c664C (qui est ASCII pour eLfL). Cela sert de signature pour la structure."
Dans les fichiers event sous Win 7, je ne vois plus de eLfL donc je ne sais plus ou commence chaque événement du fichier.
Aurais-tu une idée sur le départ de chaque événements ?
Encore Merci pour ce lien, je vais creuser.
Cordialement
Se pendant, un truc me bloque maintenant.
Dans mon programme pour lire le fichier des événement sous Win XP, mon point de départ été le champ n°2 ou je recherchais le eLfL qui me donnée le départ de chaque nouvelle événement du fichier et en reculent de 4 octets j'avais la taille de la structure.
"Reserved (4 octets): DOIT être réglé sur 0x654c664C (qui est ASCII pour eLfL). Cela sert de signature pour la structure."
Dans les fichiers event sous Win 7, je ne vois plus de eLfL donc je ne sais plus ou commence chaque événement du fichier.
Aurais-tu une idée sur le départ de chaque événements ?
Encore Merci pour ce lien, je vais creuser.
Cordialement
patou41000
Messages postés
6
Date d'inscription
samedi 8 avril 2006
Statut
Membre
Dernière intervention
3 novembre 2019
3 nov. 2019 à 11:05
3 nov. 2019 à 11:05
Bonjour,
Je pense partir sur un nouveau champs de départ que l’occurrence eLfL.
Je vais creuser.
Merci, je passe en résolu ce sujet.
--
Je pense partir sur un nouveau champs de départ que l’occurrence eLfL.
Je vais creuser.
Merci, je passe en résolu ce sujet.
--