Вопрос по c#, event-log, performance, windows, wmi – Улучшить производительность чтения журнала событий [дубликата]

0

This question already has an answer here:

What is the Fastest way to read event log on remote machine? 7 answers

Я запрашиваю журнал событий разных контроллеров домена, я должен продолжать запрашивать его через некоторый промежуток времени.

Ниже приведен код, который я использую для запроса.

public static void FindAllLog(string machineName)
        {
            //EventLog log = new EventLog("", "");
            //log.
            EventLog[] remoteEventLogs;
            // Gets logs on the local computer, gives remote computer name to get the logs on the remote computer.
            remoteEventLogs = EventLog.GetEventLogs(machineName);
            Console.WriteLine("Number of logs on computer: " + remoteEventLogs.Length);

            for (int i = 0; i < remoteEventLogs.Length; i++)
            {
                Console.WriteLine("Log : " + remoteEventLogs[i].Log);
                ReadEventLog(machineName, remoteEventLogs[i].Log, DateTime.Now.AddDays(-30));
                //ReadAppEventLog(machineName, remoteEventLogs[i].Log);                
            }
        }

public static void ReadEventLog(string machine, string logType,DateTime fromDate)
        {
            EventLog ev = new EventLog(logType, machine);
            var entry = (from EventLogEntry e in ev.Entries
                         where e.TimeGenerated >= fromDate
                         orderby e.TimeGenerated
                         select e);//.LastOrDefault();
            foreach (EventLogEntry CurrentEntry in entry)
            {
                Console.WriteLine("Event ID : " + CurrentEntry.EventID);
                Console.WriteLine("Event Source : " + CurrentEntry.Source);
                Console.WriteLine("Event TimeGenerated : " + CurrentEntry.TimeGenerated);
                Console.WriteLine("Event TimeWritten : " + CurrentEntry.TimeWritten);
                Console.WriteLine("Event MachineName : " + CurrentEntry.MachineName);
                Console.WriteLine("Entry Type : " + CurrentEntry.EntryType.ToString());
                Console.WriteLine("Message :  " + CurrentEntry.Message + "\n");
                Console.WriteLine("-----------------------------------------");
            }
        }

When first time I am querying a domain controller, I have to read log of last 30 days. Else just read latest log from the last time we left. Its taking hell lot of time to query it? I tried with WMI, same issue hell lot of time and it is sometime giving “Invalid Query Error”? How to improve this? Any model you suggest to do this task, I am doing multithreading here for each Domain Controller?

Спасибо

Для начала вы можете взглянуть наParallel.ForEach Method и посмотрим, будет ли объект ввода поддерживать его. Joshua Drake
Я могу сбить заказ с помощью e.TimeGenerated. Но моя главная проблема в том, что первое время загрузки происходит так медленно, когда я буду запрашивать 30-дневные события из всех журналов событий. sunder
Я предполагаю, что вы хотите, чтобы они были в порядке, или вас не волнует порядок, в котором они написаны? Joshua Drake
Нашел этот ТАК вопросWhat is the Fastest way to read event log on remote machine? Joshua Drake
Я не забочусь о порядке. sunder

Ваш Ответ

2   ответа
2

Чтобы ответить на этот вопрос. Я перепробовал весь стиль чтения журналов событий.

Используя подход .NET2.0 с использованием класса EventLog, затем чтение с использованием подхода .NET3.0 с использованием классов EventLogQuery и EventLogReader, наконец, я попробовал подход WMI.

Я должен читать журналы событий, основанные на времени или временном интервале, каждые 5 минут или около того.

Вы, ребята, удивитесь, узнав, что WMI будет извлекать данные намного быстрее, чем другой подход .NETx, и у нас будет больше полей и никаких зависимостей ОС или проблем с брандмауэром.

Но у двух других подходов есть минусы.

просто хотел поделиться этим.

Спасибо

1

Попробуй это:

// Store indices of last accessed EventLogEntries in Dictionary {logType, lastIndex}
private static readonly Dictionary<string, int> _lastIndices = new Dictionary<string, int>();

public static void FindAllLog(string machineName)
{
    //EventLog log = new EventLog("", "");
    //log.
    EventLog[] remoteEventLogs;
    // Gets logs on the local computer, gives remote computer name to get the logs on the remote computer.
    remoteEventLogs = EventLog.GetEventLogs(machineName);
    Console.WriteLine("Number of logs on computer: " + remoteEventLogs.Length);

    for (int i = 0; i < remoteEventLogs.Length; i++)
    {
        Console.WriteLine("Log : " + remoteEventLogs[i].Log);
        ReadEventLog(machineName, remoteEventLogs[i].Log, DateTime.Now.AddDays(-30));
        //ReadAppEventLog(machineName, remoteEventLogs[i].Log);                
    }
}

public static void ReadEventLog(string machine, string logType, DateTime fromDate)
{
    int lastIndex;
    EventLog ev = new EventLog(logType, machine);
    IList<EventLogEntry> entries = new List<EventLogEntry>();

    if (_lastIndices.ContainsKey(logType))
        lastIndex = _lastIndices[logType];
    else {
        lastIndex = 0;
        _lastIndices.Add(logType, 0);
    }

    // Try to avoid LINQ because it uses Enumerator and Loops EVERYTIME trough all items.
    // Start Looping from top of the list and break if Entry has Index less than lastIndex or
    // if Entry has TimeWritten less than fromDate
    for (var i = ev.Entries.Count - 1; ev.Entries[i].Index > lastIndex && ev.Entries[i].TimeWritten > fromDate; i--)
        entries.Add(ev.Entries[i]);

    if (entries.Count > 0) // Set lastIndex for corresponding logType
        _lastIndices[logType] = entries.Max(e => e.Index);

    foreach (EventLogEntry CurrentEntry in entry.OrderBy(e => e.TimeWritten))
    {
        Console.WriteLine("Event ID : " + CurrentEntry.EventID);
        Console.WriteLine("Event Source : " + CurrentEntry.Source);
        Console.WriteLine("Event TimeGenerated : " + CurrentEntry.TimeGenerated);
        Console.WriteLine("Event TimeWritten : " + CurrentEntry.TimeWritten);
        Console.WriteLine("Event MachineName : " + CurrentEntry.MachineName);
        Console.WriteLine("Entry Type : " + CurrentEntry.EntryType.ToString());
        Console.WriteLine("Message :  " + CurrentEntry.Message + "\n");
        Console.WriteLine("-----------------------------------------");
    }
}

Я использовал здесь свойство TimeWritten, потому что оно более надежно, чем TimeGenerated. TimeGenerated может быть не в порядке, но TimeWritten всегда возрастает так же, как и индекс. Надеюсь, это поможет.

Похожие вопросы