是否存在Windows事件字符数限制?
我正在进行
Windows事件ID 5136(“目录服务对象被修改”)的输出分析,更具体地说是“LDAP显示名称= nTSecurityDescriptor”(
see following event 5136 capture)的事件.
在“值”字段中,我有一个列表,其中包含对象本身更改的所有安全权限,这很棒.但是,在尝试比较2x相关事件及其各自的“值”字段时,我注意到以下问题: >字符数始终为5120(4096 1024) 有关活动的信息: >源主机是Windows Server 2012 R2 DC(最新) 所以我在Windows事件(而不是事件日志文件本身)中寻找了一些值大小限制,但只是在“community embarcadero”和“developpez”网站上找到了一些信息.
事件中的消息由
EvtFormatMessage函数呈现.据我记得,这里有大约32k字符的限制,所以这不应该导致截断.这通过由事件id标识的格式字符串和与事件一起存储的一组值来工作.值:%piece就是这样.用于写入此值的
EVENTDATA_DESCRIPTOR结构也可以存储更大的数据.
我敢打赌,事件提供者有一个内部限制(5120).这背后的原因可能是由于EVENTDATA_DESCRIPTOR文档中提到的限制: Note that the total data size of the event (not just this data item) is the lesser of 64 KB 您的活动有12个值,如果它们对每个值使用相同的限制,那么它会下降到大约5kb.也许您可以向Microsoft提交错误报告. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |