[DonElTomato]

Hallo,

ich versuche ein Programm zu schreiben welches in der Lage ist .evt-Dateien (Exporte des Windows-EventLogs) einzulesen und Ihre Informationen entsprechend auszugeben.

Das ganze muss mit .NET 1.1 und c# umgesetzt werden, allerdings finde ich keine Hilfen und referenzen dazu. Unter umständen würde sogar reichen wenn ich wissen könnte wie so eine .evt-Datei aufgebaut ist, aber selbst das habe ich nicht herausbekommen.

Vielleicht kkennt jemand von euch einen Link....

MFG

Don

[Rika]

Hä? Die Evt-Dateien selbst sind via IDocumentStream aufgebaute Datenbanken. Deshalb liest man sie üblicherweise direkt als Event-Logs ein und exportiert sie zeilenweise.

Und die kompletten Exporte sind bei mir CSV oder Tab Delimited Text.

[DonElTomato]

Der export via CSV oder Delimited Text ist zwar möglich aber nicht wirklich von Vorteil da ich die Werte nur mittels eines , getrennt habe. Wenn ich nun ein , im Fehlertext habe ist das Dokument nicht mehr lesbar, ähnliches gilt für die mit Tabs getrennte TXT-Datei.

Was ist ein IDocumentStraeam? Habe ich bisher nicht gehört. Google weiß auch nicht viel darüber, und was meinst du mit "direkt als EventLogs" einlesen?

Das Problem ist das ich gerne diese evt-Dateien einlesen möchte aber keine nötigen Klassen besitze und nicht weiß wie diese Logs aufgebaut sind.
Ich habe zwar versucht diese Datei in das EventLog einzulesen und von dort Eintrag für Eintrag zu verarbeiten, allerdings werden die exportierten Dateien nicht wirklich eingelesen sondern nur "angezeigt."

mfg

don

[DonElTomato]

Die Klassen des .NET Frameworks bieten in der Tat Klassen zum lesen und schreiben, allerdings nur um Logs in ein bestimmtes Log zu schreiben oder zu Lesen.

Ich möchte allerdings einen Export eines Eventlog (eine .evt-Datei) einlesen...

[Rika]

Scheint tatsächlich so zu sein, daß man mit .NET nur bereits vom System geladene Eventlogs verarbeiten kann. Dann bleibt dir wirklich nur der manuelle Import mit nativen Funktionen:

http://msdn2.microso...y/ms876144.aspx

Und das ist so richtig häßlich.


Trotzdem ist

Zitat

Der export via CSV oder Delimited Text ist zwar möglich aber nicht wirklich von Vorteil da ich die Werte nur mittels eines , getrennt habe. Wenn ich nun ein , im Fehlertext habe ist das Dokument nicht mehr lesbar, ähnliches gilt für die mit Tabs getrennte TXT-Datei.

natürlich Unsinn, weil du nur zu faul bist, das ganze ordentlich zu parsen. Mach das, und dein Problem hat sich erledigt.

[DonElTomato]

Und wie ist es möglich das korrekt zu parsen? Momentan bin ich dabei das ganze binär einzulesen und auszuwerten, was allerdings in der Tat häßlich ist.

[Rika]

Moment mal. Du hast gesagt, daß Export als CSV oder Tab-Delimited-Text möglich ist, also diesen anstelle der EVT-Datei einzulesen.

Und das ist trivial zu parsen. Du darfst halt nur eben nicht bei ',' oder <Tab> splitten, sondern muss dort mit Zuständen arbeiten, d.h. bei '"' beginnt der Text, bei '\' wird das nächste Zeichen als Text genommen, bei " endet der Text, dann trennt ein ',' den nächsten Eintrag, bei \n ist Ende, ansonsten wieder von vorne.

Die EVT-Datei selbst zu parsen ist wirklich nicht sinnvoll, insbesondere nicht ohne vorher mit IDocumentStream in die jeweiligen Structs zu zerlegen. Dafür gibt's halt die native Funktion BatchImport, und auch das macht nicht wirklich Spass.

[DonElTomato]

Da bin ich nochmal...

Also eine CSV-Datei einzulesen in der Einträge mit "," getrennt sind ist wirklich nicht schwer, allerding gibt die Ereignisanzeige beim Export nur eine Datei aus in der die Informationen nur durch ein , getrennt sind.

In etwa so:

12.02.2005,17:25:30,Information,Der Prozess, dessen Name unbekannt ist, hat einen Fehler verursacht. Dieser hat zur folge das Dienst A, Dienst B und Dienst C nicht arbeiten können.,GUI

Das jetzt auszulesen finde ich etwas schwieriger...


Naja ich habe jetzt die evt-Datei mittels eines ByteReaders eingelesen und die Einträge so ausgewertet bekommen. Dazu habe ich im Netz gesucht wie diese Datei aufgebaut ist und jeweils den entsprechenden Header sowie die Fehlerinformationen.

MFG

P.S.: Trotzdem Danke für eure Hilfe....

[Rika]

Also ich hab gerade noch einmal nachgeschaut: Normalerweise wird nicht gequotet. Wenn in einem Datenfeld aber ein ',' bzw. <Tab> vorkommt, dann wird dieses korrekt mit " gequotet. Kommt ferner ein " vor, so wird dieses als \" escapet.

Die Darstellungen ist also eindeutig.

[DonElTomato]

Oha, das ist nicht schlecht. Naja wieder was gelernt ;-)