Q&A
- 메모리 누수가 발생되고 있습니다. 어떻게 해결해야 하나요..
이 소스는 윈도우의 이벤트로그를 분석하는 프로그램중 일부입니다.
아래의 소스만으로 이벤트 뷰가 가능한 핵심 Core 소스입니다.
다만 메모리 누수가 발생되어 해당원인을 파악하기 어려워서 공개하고 도움을 얻고자 합니다.
일단 제가 확인 하기로는 FormatMessage 근처에서 누수가 일어나는 듯 합니다.
그리고 TEventLogRecord는 함수 호출자에서 삭제 합니다.
///////////////////////////////////////////////////////////////////////////////////////////////////
// EventMessageFile를 처리하여야 한다.
///////////////////////////////////////////////////////////////////////////////////////////////////
이전까지는 이상이 없던것으로 확인 했거든요
<!--CodeS-->
EventLogRecord.free;
dwBytesRead := dwBytesRead - TEventLog(lpBuffer^).Length;
lpBuffer := PEventLog(DWORD(lpBuffer) + TEventLog(lpBuffer^).Length);
Continue;
<!--CodeE-->
위 구문을 중간에 삽입해서 메모리누수 되는지 확인 하고 있습니다.
고수분들의 내공좀 부탁드립니다.
잠시 로그보는 것은 이상 없으나 장시간 Notify Event할 경우 문제가 심각합니다.
이거 500라인 구현하는데 한달이상 걸린듯 ㅋㅋ 정보가 빈약해서 쩝 ㅠㅠ
<!--CodeS-->
InsertStringrecord = record
id : string;
ClientIP : string;
ClientName : string;
ServerIP : string;
ServerName : string;
RuleId : string;
RuleType : string;
RulePriority : string;
UserId : string;
WriteTime : string;
EventID : string;
EventType : string;
BlaFileName : string;
ClientMacAddr : string;
LogonID : string;
ProcessID : string;
BuildProcessID : string;
end;
PEventLog = ^TEventLog;
TEventLog = record
Length : DWord;
Reserved : DWord;
RecordNumber : DWord;
TimeGenerated : DWord;
TimeWritten : DWord;
EventID : DWord;
EventType : Word;
NumStrings : Word;
EventCategory : Word;
ReservedFlags : Word;
ClosingRecordNumber: DWord;
StringOffset : DWord;
UserSIDLength : DWord;
UserSIDOffset : DWord;
DataLength : DWord;
DataOffset : DWord;
end;
TEventLogRecord = class
EVENTLOGREC : TEventLog;
ComputerName: string;
DescriptionRec : InsertStringrecord;
Description: string;
EventCategory: word;
EventID: DWORD;
EventType: word;
RecordNumber: DWORD;
SourceName: string;
TimeGenerated: TDateTime;
UserName: String;
end;
.....
function DisplayEntry(Source : string; OutPutList : TList; CompareTime : LongInt; var LastRecordNum : Cardinal) : LongInt;
var
hModule : THandle;
hEventLog : THandle;
EventLogPtr : pointer;
lpBuffer : PEventLog;
dwEventLogRecords : DWORD;
dwBytesRead : DWORD;
dwBytesNeed : DWORD;
dwBufSize : DWORD;
OutputStr : array[0..255] of char;
ParameterMessageFile : PChar;
argumentsToDelCount : integer;
EventMessageFile : PChar;
NextEventMessageFile : PChar;
FirstArgument : PChar;
NextArgument : PChar;
EventLogRecord : TEventLogRecord;
i, j, iNumStrings : integer;
ArgsBuffer : array of string;
tempstring, valuestring : string;
FlagstringCon : integer;
lpMsgBuf : PChar;
dwArgumentOffset : DWORD;
FlagParameter : integer; //디버그용
isFirst : boolean;
mLastRec : Cardinal;
begin
dwBytesRead := 0;
dwBytesNeed := 0;
Result := CompareTime;
hEventLog := OpenEventLog(nil, PChar(Source));
if hEventLog = 0 then
raise Exception.Create(SysErrorMessage(GetLastError));
if not GetNumberOfEventLogRecords(hEventLog, dwEventLogRecords) then
dwEventLogRecords := 512;
dwBufSize := 64*1024;
isFirst := True;
GetMem(EventLogPtr, dwBufSize);
lpBuffer := EventLogPtr;
mLastRec := LastRecordNum;
try
while ReadEventLog(hEventLog, EVENTLOG_BACKWARDS_READ or EVENTLOG_SEQUENTIAL_READ, dwEventLogRecords, EventLogPtr, dwBufSize, dwBytesRead, dwBytesNeed) do
begin
while (dwBytesRead > 0) And (lpBuffer^.TimeGenerated >= CompareTime) do
begin
with TEventLog(lpBuffer^) do
begin
if LastRecordNum = TEventLog(lpBuffer^).RecordNumber then
break;
if isFirst then
begin
mLastRec := TEventLog(lpBuffer^).RecordNumber;
isFirst := false;
end;
if mLastRec < TEventLog(lpBuffer^).RecordNumber then
mLastRec := TEventLog(lpBuffer^).RecordNumber;
FlagParameter := 0;
Result := TimeGenerated;
EventLogRecord := TEventLogRecord.Create;
EventLogRecord.EVENTLOGREC := TEventLog(lpBuffer^);
EventLogRecord.EventType := EventType;
EventLogRecord.TimeGenerated := UnixDateTimeToDelphiDateTime(TimeGenerated);
EventLogRecord.SourceName := PChar(DWORD(lpBuffer)+DWORD(SizeOf(TEventLog)));
EventLogRecord.EventCategory := EventCategory;
EventLogRecord.EventID := EventID;
EventLogRecord.Description := '';
if TEventLog(lpBuffer^).UserSIDLength > 0 then
EventLogRecord.UserName := GetAccountName(PSID(DWORD(lpBuffer) + DWORD(TEventLog(lpBuffer^).UserSIDOffset)))
else
EventLogRecord.UserName := '(blank)';
EventLogRecord.ComputerName := PChar(DWORD(lpBuffer)+DWORD(SizeOf(TEventLog)+System.Length(EventLogRecord.SourceName)+1));
FirstArgument := PChar(DWORD(lpBuffer)+DWORD(StringOffset));
iNumStrings := TEventLog(lpBuffer^).NumStrings;
SetLength(ArgsBuffer, iNumStrings);
if iNumStrings <= 0 then
begin
SetLength(ArgsBuffer, 1);
ArgsBuffer[0] := '';
end
else
begin
dwArgumentOffset := DWORD(StrLen(FirstArgument)+1);
if High(ArgsBuffer) >= 0 then
ArgsBuffer[0] := FirstArgument;
for i := 1 to iNumStrings-1 do
begin
NextArgument := PChar(DWORD(lpBuffer)+DWORD(StringOffset)+dwArgumentOffset);
ArgsBuffer[i] := NextArgument;
dwArgumentOffset := dwArgumentOffset + StrLen(NextArgument) + 1;
end;
end;
///////////////////////////////////////////////////////////////////////////////////////////////////
// ParameterMessage를 처리하여야 한다.
///////////////////////////////////////////////////////////////////////////////////////////////////
ParameterMessageFile := PChar(GetRegValue(HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\EventLog\' + Source + '\' + EventLogRecord.SourceName, 'ParameterMessageFile'));
FillChar(OutputStr, SizeOf(OutputStr), 0);
ExpandEnvironmentStrings(ParameterMessageFile, OutputStr, SizeOf(OutputStr));
if OutputStr <> ParameterMessageFile then
ParameterMessageFile := OutputStr;
argumentsToDelCount := 0;
if ParameterMessageFile <> nil then
begin
// 필요한 포인터가 몇개일지 결정한다.
for i := 0 to iNumStrings-1 do
begin
if System.Length(ArgsBuffer[i]) > 2 then
begin
if (ArgsBuffer[i][1] = '%') And
(ArgsBuffer[i][2] = '%') Then
inc(argumentsToDelCount);
end;
end;
//////////////////////////////////////////////////////////////////////////////////////////////
// ParameterMessageFile은 여러개일 가능성이 있습니다.
//////////////////////////////////////////////////////////////////////////////////////////////
if argumentsToDelCount > 0 then
begin
hModule := LoadLibraryEx(PChar(ParameterMessageFile), 0, DONT_RESOLVE_DLL_REFERENCES);
if hModule <> 0 then
begin
for i := 0 to iNumStrings-1 do
begin
tempstring := '';
if System.Length(ArgsBuffer[i]) > 2 then
begin
for j := 1 to System.length(ArgsBuffer[i]) do
begin
if (ArgsBuffer[i][j] = '%') then
begin
valuestring := '';
inc(FlagstringCon);
if FlagstringCon > 2 then
FlagstringCon := 2;
Continue;
end;
if FlagstringCon = 2 then
begin
if (j = System.length(ArgsBuffer[i])) Then
begin
if (ArgsBuffer[i][j] in ['0'..'9']) then
valuestring := valuestring + ArgsBuffer[i][j];
FlagstringCon := 3
end
else if not (ArgsBuffer[i][j + 1] in ['0'..'9']) then
begin
if (ArgsBuffer[i][j] in ['0'..'9']) then
valuestring := valuestring + ArgsBuffer[i][j];
FlagstringCon := 3
end
else
begin
valuestring := valuestring + ArgsBuffer[i][j];
Continue;
end;
end;
if FlagstringCon = 3 then
begin
try
FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER or
FORMAT_MESSAGE_FROM_HMODULE or
FORMAT_MESSAGE_FROM_SYSTEM or
FORMAT_MESSAGE_ARGUMENT_ARRAY,
Pointer(hModule),
StrToInt64(valuestring), // Argment 를 Integer로 변환
0,
PChar(@lpMsgBuf), SizeOf(lpMsgBuf), nil);
tempstring := tempstring + strpas(lpMsgBuf);
inc(FlagParameter);
except
end;
FlagstringCon := 0;
end
else
tempstring := tempstring + ArgsBuffer[i][j];
end;
ArgsBuffer[i] := tempstring;
end;
end;
FreeLibrary(hModule);
end;
end;
end;
///////////////////////////////////////////////////////////////////////////////////////////////////
// EventMessageFile를 처리하여야 한다.
///////////////////////////////////////////////////////////////////////////////////////////////////
EventMessageFile := PChar(GetRegValue(HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\EventLog\' + Source + '\' + EventLogRecord.SourceName, 'EventMessageFile'));
FillChar(OutputStr, SizeOf(OutputStr), 0);
ExpandEnvironmentStrings(EventMessageFile, OutputStr, SizeOf(OutputStr));
if OutputStr <> EventMessageFile then
EventMessageFile := OutputStr;
//////////////////////////////////////////////////////////////////////////////////////////////
// EventMessageFile은 여러개일 가능성이 있습니다.
//////////////////////////////////////////////////////////////////////////////////////////////
NextEventMessageFile := EventMessageFile;
i := 0;
While NextEventMessageFile <> nil do
begin
if (EventMessageFile[i] = ';') or (EventMessageFile[i] = #0) then
begin
hModule := 0;
if EventMessageFile[i] = ';' then
begin
EventMessageFile[i] := #0;
hModule := LoadLibraryEx(PChar(NextEventMessageFile), 0, DONT_RESOLVE_DLL_REFERENCES);
NextEventMessageFile := @EventMessageFile[i + 1];
end
else
begin
hModule := LoadLibraryEx(PChar(NextEventMessageFile), 0, DONT_RESOLVE_DLL_REFERENCES);
NextEventMessageFile := nil;
end;
FillChar(lpMsgBuf, SizeOf(lpMsgBuf), 0);
if hModule <> 0 then
try
FormatMessage( FORMAT_MESSAGE_ALLOCATE_BUFFER or
FORMAT_MESSAGE_FROM_HMODULE or
FORMAT_MESSAGE_FROM_SYSTEM or
FORMAT_MESSAGE_ARGUMENT_ARRAY,
Pointer(hModule),
EventLogRecord.EventID,
0,
PChar(@lpMsgBuf), SizeOf(lpMsgBuf), ArgsBuffer);
finally
FreeLibrary(hModule);
ArgsBuffer := nil;
end;
EventLogRecord.Description := EventLogRecord.Description + strpas(lpMsgBuf);
end;
inc(i);
end;
lpMsgBuf := nil;
if System.Length(EventLogRecord.Description) > 4 then
begin
tempstring := '';
i := 1;
while i <= System.Length(EventLogRecord.Description) do
begin
if (EventLogRecord.Description[i] + EventLogRecord.Description[i + 1] +
EventLogRecord.Description[i + 2] + EventLogRecord.Description[i + 3]) =
(chr(13) + chr(10) + chr(13) + chr(10)) then
begin
tempstring := tempstring + chr(13) + chr(10);
i := i + 4;
continue;
end;
tempstring := tempstring + EventLogRecord.Description[i];
inc(i);
end;
EventLogRecord.Description := tempstring;
end;
EventLogRecord.RecordNumber := RecordNumber;
OutPutList.Add(EventLogRecord);
end;
dwBytesRead := dwBytesRead - TEventLog(lpBuffer^).Length;
lpBuffer := PEventLog(DWORD(lpBuffer) + TEventLog(lpBuffer^).Length);
end;
lpBuffer := EventLogPtr;
end;
finally
LastRecordNum := mLastRec;
FreeMem(EventLogPtr, dwBufSize);
CloseEventLog(hEventLog);
end;
end;
<!--CodeE-->
아래의 소스만으로 이벤트 뷰가 가능한 핵심 Core 소스입니다.
다만 메모리 누수가 발생되어 해당원인을 파악하기 어려워서 공개하고 도움을 얻고자 합니다.
일단 제가 확인 하기로는 FormatMessage 근처에서 누수가 일어나는 듯 합니다.
그리고 TEventLogRecord는 함수 호출자에서 삭제 합니다.
///////////////////////////////////////////////////////////////////////////////////////////////////
// EventMessageFile를 처리하여야 한다.
///////////////////////////////////////////////////////////////////////////////////////////////////
이전까지는 이상이 없던것으로 확인 했거든요
<!--CodeS-->
EventLogRecord.free;
dwBytesRead := dwBytesRead - TEventLog(lpBuffer^).Length;
lpBuffer := PEventLog(DWORD(lpBuffer) + TEventLog(lpBuffer^).Length);
Continue;
<!--CodeE-->
위 구문을 중간에 삽입해서 메모리누수 되는지 확인 하고 있습니다.
고수분들의 내공좀 부탁드립니다.
잠시 로그보는 것은 이상 없으나 장시간 Notify Event할 경우 문제가 심각합니다.
이거 500라인 구현하는데 한달이상 걸린듯 ㅋㅋ 정보가 빈약해서 쩝 ㅠㅠ
<!--CodeS-->
InsertStringrecord = record
id : string;
ClientIP : string;
ClientName : string;
ServerIP : string;
ServerName : string;
RuleId : string;
RuleType : string;
RulePriority : string;
UserId : string;
WriteTime : string;
EventID : string;
EventType : string;
BlaFileName : string;
ClientMacAddr : string;
LogonID : string;
ProcessID : string;
BuildProcessID : string;
end;
PEventLog = ^TEventLog;
TEventLog = record
Length : DWord;
Reserved : DWord;
RecordNumber : DWord;
TimeGenerated : DWord;
TimeWritten : DWord;
EventID : DWord;
EventType : Word;
NumStrings : Word;
EventCategory : Word;
ReservedFlags : Word;
ClosingRecordNumber: DWord;
StringOffset : DWord;
UserSIDLength : DWord;
UserSIDOffset : DWord;
DataLength : DWord;
DataOffset : DWord;
end;
TEventLogRecord = class
EVENTLOGREC : TEventLog;
ComputerName: string;
DescriptionRec : InsertStringrecord;
Description: string;
EventCategory: word;
EventID: DWORD;
EventType: word;
RecordNumber: DWORD;
SourceName: string;
TimeGenerated: TDateTime;
UserName: String;
end;
.....
function DisplayEntry(Source : string; OutPutList : TList; CompareTime : LongInt; var LastRecordNum : Cardinal) : LongInt;
var
hModule : THandle;
hEventLog : THandle;
EventLogPtr : pointer;
lpBuffer : PEventLog;
dwEventLogRecords : DWORD;
dwBytesRead : DWORD;
dwBytesNeed : DWORD;
dwBufSize : DWORD;
OutputStr : array[0..255] of char;
ParameterMessageFile : PChar;
argumentsToDelCount : integer;
EventMessageFile : PChar;
NextEventMessageFile : PChar;
FirstArgument : PChar;
NextArgument : PChar;
EventLogRecord : TEventLogRecord;
i, j, iNumStrings : integer;
ArgsBuffer : array of string;
tempstring, valuestring : string;
FlagstringCon : integer;
lpMsgBuf : PChar;
dwArgumentOffset : DWORD;
FlagParameter : integer; //디버그용
isFirst : boolean;
mLastRec : Cardinal;
begin
dwBytesRead := 0;
dwBytesNeed := 0;
Result := CompareTime;
hEventLog := OpenEventLog(nil, PChar(Source));
if hEventLog = 0 then
raise Exception.Create(SysErrorMessage(GetLastError));
if not GetNumberOfEventLogRecords(hEventLog, dwEventLogRecords) then
dwEventLogRecords := 512;
dwBufSize := 64*1024;
isFirst := True;
GetMem(EventLogPtr, dwBufSize);
lpBuffer := EventLogPtr;
mLastRec := LastRecordNum;
try
while ReadEventLog(hEventLog, EVENTLOG_BACKWARDS_READ or EVENTLOG_SEQUENTIAL_READ, dwEventLogRecords, EventLogPtr, dwBufSize, dwBytesRead, dwBytesNeed) do
begin
while (dwBytesRead > 0) And (lpBuffer^.TimeGenerated >= CompareTime) do
begin
with TEventLog(lpBuffer^) do
begin
if LastRecordNum = TEventLog(lpBuffer^).RecordNumber then
break;
if isFirst then
begin
mLastRec := TEventLog(lpBuffer^).RecordNumber;
isFirst := false;
end;
if mLastRec < TEventLog(lpBuffer^).RecordNumber then
mLastRec := TEventLog(lpBuffer^).RecordNumber;
FlagParameter := 0;
Result := TimeGenerated;
EventLogRecord := TEventLogRecord.Create;
EventLogRecord.EVENTLOGREC := TEventLog(lpBuffer^);
EventLogRecord.EventType := EventType;
EventLogRecord.TimeGenerated := UnixDateTimeToDelphiDateTime(TimeGenerated);
EventLogRecord.SourceName := PChar(DWORD(lpBuffer)+DWORD(SizeOf(TEventLog)));
EventLogRecord.EventCategory := EventCategory;
EventLogRecord.EventID := EventID;
EventLogRecord.Description := '';
if TEventLog(lpBuffer^).UserSIDLength > 0 then
EventLogRecord.UserName := GetAccountName(PSID(DWORD(lpBuffer) + DWORD(TEventLog(lpBuffer^).UserSIDOffset)))
else
EventLogRecord.UserName := '(blank)';
EventLogRecord.ComputerName := PChar(DWORD(lpBuffer)+DWORD(SizeOf(TEventLog)+System.Length(EventLogRecord.SourceName)+1));
FirstArgument := PChar(DWORD(lpBuffer)+DWORD(StringOffset));
iNumStrings := TEventLog(lpBuffer^).NumStrings;
SetLength(ArgsBuffer, iNumStrings);
if iNumStrings <= 0 then
begin
SetLength(ArgsBuffer, 1);
ArgsBuffer[0] := '';
end
else
begin
dwArgumentOffset := DWORD(StrLen(FirstArgument)+1);
if High(ArgsBuffer) >= 0 then
ArgsBuffer[0] := FirstArgument;
for i := 1 to iNumStrings-1 do
begin
NextArgument := PChar(DWORD(lpBuffer)+DWORD(StringOffset)+dwArgumentOffset);
ArgsBuffer[i] := NextArgument;
dwArgumentOffset := dwArgumentOffset + StrLen(NextArgument) + 1;
end;
end;
///////////////////////////////////////////////////////////////////////////////////////////////////
// ParameterMessage를 처리하여야 한다.
///////////////////////////////////////////////////////////////////////////////////////////////////
ParameterMessageFile := PChar(GetRegValue(HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\EventLog\' + Source + '\' + EventLogRecord.SourceName, 'ParameterMessageFile'));
FillChar(OutputStr, SizeOf(OutputStr), 0);
ExpandEnvironmentStrings(ParameterMessageFile, OutputStr, SizeOf(OutputStr));
if OutputStr <> ParameterMessageFile then
ParameterMessageFile := OutputStr;
argumentsToDelCount := 0;
if ParameterMessageFile <> nil then
begin
// 필요한 포인터가 몇개일지 결정한다.
for i := 0 to iNumStrings-1 do
begin
if System.Length(ArgsBuffer[i]) > 2 then
begin
if (ArgsBuffer[i][1] = '%') And
(ArgsBuffer[i][2] = '%') Then
inc(argumentsToDelCount);
end;
end;
//////////////////////////////////////////////////////////////////////////////////////////////
// ParameterMessageFile은 여러개일 가능성이 있습니다.
//////////////////////////////////////////////////////////////////////////////////////////////
if argumentsToDelCount > 0 then
begin
hModule := LoadLibraryEx(PChar(ParameterMessageFile), 0, DONT_RESOLVE_DLL_REFERENCES);
if hModule <> 0 then
begin
for i := 0 to iNumStrings-1 do
begin
tempstring := '';
if System.Length(ArgsBuffer[i]) > 2 then
begin
for j := 1 to System.length(ArgsBuffer[i]) do
begin
if (ArgsBuffer[i][j] = '%') then
begin
valuestring := '';
inc(FlagstringCon);
if FlagstringCon > 2 then
FlagstringCon := 2;
Continue;
end;
if FlagstringCon = 2 then
begin
if (j = System.length(ArgsBuffer[i])) Then
begin
if (ArgsBuffer[i][j] in ['0'..'9']) then
valuestring := valuestring + ArgsBuffer[i][j];
FlagstringCon := 3
end
else if not (ArgsBuffer[i][j + 1] in ['0'..'9']) then
begin
if (ArgsBuffer[i][j] in ['0'..'9']) then
valuestring := valuestring + ArgsBuffer[i][j];
FlagstringCon := 3
end
else
begin
valuestring := valuestring + ArgsBuffer[i][j];
Continue;
end;
end;
if FlagstringCon = 3 then
begin
try
FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER or
FORMAT_MESSAGE_FROM_HMODULE or
FORMAT_MESSAGE_FROM_SYSTEM or
FORMAT_MESSAGE_ARGUMENT_ARRAY,
Pointer(hModule),
StrToInt64(valuestring), // Argment 를 Integer로 변환
0,
PChar(@lpMsgBuf), SizeOf(lpMsgBuf), nil);
tempstring := tempstring + strpas(lpMsgBuf);
inc(FlagParameter);
except
end;
FlagstringCon := 0;
end
else
tempstring := tempstring + ArgsBuffer[i][j];
end;
ArgsBuffer[i] := tempstring;
end;
end;
FreeLibrary(hModule);
end;
end;
end;
///////////////////////////////////////////////////////////////////////////////////////////////////
// EventMessageFile를 처리하여야 한다.
///////////////////////////////////////////////////////////////////////////////////////////////////
EventMessageFile := PChar(GetRegValue(HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\EventLog\' + Source + '\' + EventLogRecord.SourceName, 'EventMessageFile'));
FillChar(OutputStr, SizeOf(OutputStr), 0);
ExpandEnvironmentStrings(EventMessageFile, OutputStr, SizeOf(OutputStr));
if OutputStr <> EventMessageFile then
EventMessageFile := OutputStr;
//////////////////////////////////////////////////////////////////////////////////////////////
// EventMessageFile은 여러개일 가능성이 있습니다.
//////////////////////////////////////////////////////////////////////////////////////////////
NextEventMessageFile := EventMessageFile;
i := 0;
While NextEventMessageFile <> nil do
begin
if (EventMessageFile[i] = ';') or (EventMessageFile[i] = #0) then
begin
hModule := 0;
if EventMessageFile[i] = ';' then
begin
EventMessageFile[i] := #0;
hModule := LoadLibraryEx(PChar(NextEventMessageFile), 0, DONT_RESOLVE_DLL_REFERENCES);
NextEventMessageFile := @EventMessageFile[i + 1];
end
else
begin
hModule := LoadLibraryEx(PChar(NextEventMessageFile), 0, DONT_RESOLVE_DLL_REFERENCES);
NextEventMessageFile := nil;
end;
FillChar(lpMsgBuf, SizeOf(lpMsgBuf), 0);
if hModule <> 0 then
try
FormatMessage( FORMAT_MESSAGE_ALLOCATE_BUFFER or
FORMAT_MESSAGE_FROM_HMODULE or
FORMAT_MESSAGE_FROM_SYSTEM or
FORMAT_MESSAGE_ARGUMENT_ARRAY,
Pointer(hModule),
EventLogRecord.EventID,
0,
PChar(@lpMsgBuf), SizeOf(lpMsgBuf), ArgsBuffer);
finally
FreeLibrary(hModule);
ArgsBuffer := nil;
end;
EventLogRecord.Description := EventLogRecord.Description + strpas(lpMsgBuf);
end;
inc(i);
end;
lpMsgBuf := nil;
if System.Length(EventLogRecord.Description) > 4 then
begin
tempstring := '';
i := 1;
while i <= System.Length(EventLogRecord.Description) do
begin
if (EventLogRecord.Description[i] + EventLogRecord.Description[i + 1] +
EventLogRecord.Description[i + 2] + EventLogRecord.Description[i + 3]) =
(chr(13) + chr(10) + chr(13) + chr(10)) then
begin
tempstring := tempstring + chr(13) + chr(10);
i := i + 4;
continue;
end;
tempstring := tempstring + EventLogRecord.Description[i];
inc(i);
end;
EventLogRecord.Description := tempstring;
end;
EventLogRecord.RecordNumber := RecordNumber;
OutPutList.Add(EventLogRecord);
end;
dwBytesRead := dwBytesRead - TEventLog(lpBuffer^).Length;
lpBuffer := PEventLog(DWORD(lpBuffer) + TEventLog(lpBuffer^).Length);
end;
lpBuffer := EventLogPtr;
end;
finally
LastRecordNum := mLastRec;
FreeMem(EventLogPtr, dwBufSize);
CloseEventLog(hEventLog);
end;
end;
<!--CodeE-->
1
COMMENTS
(NOTICE) You must be logged in to comment on this post.
-
- 델파이신참
- •
- 2005.12.16 01:40
- 1 COMMENTS
- /
- 0 LIKES
-
최용일•2005.12.16 02:31안녕하세요. 최용일입니다. 패스워드가 일반문자열이고 암호화가 안되어 있다면... 메모장에서 실행파일...
-
- 신철우
- •
- 2005.12.16 00:35
- 1 COMMENTS
- /
- 0 LIKES
-
최용일•2005.12.16 01:32안녕하세요. 최용일입니다. 프로젝트명.res파일을 직접 편집하는것은 비추입니다. 컴파일이나 빌드 할때...
-
- 민스맘
- •
- 2005.12.15 23:42
- 1 COMMENTS
- /
- 0 LIKES
-
착한천사•2005.12.16 00:26ADO --> Win9x 버젼에서는 DCOM98 반드시 필요, MDAC 필요 ADO --> NT계열(WinXP, 2003, 2000,NT) ...
-
- 권기현
- 2005.12.15 23:11
- 0 COMMENTS
- /
- 0 LIKES
-
- 이중철
- •
- 2005.12.14 20:39
- 1 COMMENTS
- /
- 0 LIKES
이 소스는 윈도우의 이벤트로그를 분석하는 프로그램중 일부입니다. 아래의 소스만으로 이벤트 뷰가 가능한 핵심 Core 소스입니다. 다만 메모리 누수가 발생되어 해당원인을 파악하기 어려워서 공개하고 도움을 얻고자 합니다. 일단 제가 ...-
이중철•2005.12.14 22:25문제는 FormatMessage가 원인이 맞고요 LocalFree로 해결이 되었네요 이 소스의 원본 링크는 다음과 같으...
-
- 스타크래프트
- 2005.12.13 13:36
- 0 COMMENTS
- /
- 0 LIKES
-
- 박종학
- •
- 2005.12.13 09:09
- 2 COMMENTS
- /
- 0 LIKES
-
nilriri™•2005.12.14 03:03ADOQuery2.SQL.Add('SELECT Distinct 대분류, 중분류 FROM 장비계정 WHERE 대분류=:Input_A');...
-
박종학•2005.12.15 19:53감사합니다. 많은 도움이 됐습니다....^^
-
-
최용일•2005.12.15 18:07안녕하세요. 최용일입니다. Project/Options메뉴의 Compiler Messages탭에서 Platform Unit을 체크해제...
-
-
- 신광민
- •
- 2005.12.12 20:42
- 1 COMMENTS
- /
- 0 LIKES
-
류종택•2005.12.13 02:25얼마 전 (별로 기억하고 싶지 않은 기억이 ㅡ.ㅡ) 비슷한 건을 처리해준 적이 있습니다. 같은 상황인지는 ...
-
- 이경수
- •
- 2005.12.12 19:06
- 1 COMMENTS
- /
- 0 LIKES
-
류종택•2005.12.13 02:27BDE만 추가로 따로 설치해보세요. 인터베이스의 경우는 전 그렇게 사용했습니다만...
-
- 김경렬
- •
- 2005.12.12 03:22
- 1 COMMENTS
- /
- 0 LIKES
-
강두헌•2005.12.13 09:26그냥 Double Click Procedure에서 Click Procedure를 두번 불러주면 안될까요.. ^^;;
-
- 김홍균
- •
- 2005.12.11 23:43
- 5 COMMENTS
- /
- 0 LIKES
-
KDDG_BaSTaD•2005.12.13 02:35안녕하세요 니트젠 지문인식기 다루시나 보내요.. ㅎㅎ 저도 요즘 요거 조물딱 거리는데 방갑네요 ^^; ...
-
김홍균•2005.12.13 09:55사실 내용을 잘 모르는 상태에서 하다가 이해가 안가서 생각을 좀 해보니...이렇게 무식할 수가... 지...
-
김홍균•2005.12.13 07:33음... 니트젠인지 바로 아시다니..ㅎㅎ export 구현때문에 그런건데... type은 원래 저렇게 구현된거고요....
-
권태훈•2005.12.12 20:28VOID CopyMemory (PVOID Destination, CONST VOID * Source,DWORD Length) tdata에다가 tempstr의...
-
김홍균•2005.12.13 07:35답변 감사드려요. copymemory는 순서가 move랑 반대였네요.ㅡㅡ; 그런데 해봤는데 전혀 다른 값이 나와서...
-
- 최봉덕
- •
- 2005.12.11 18:38
- 1 COMMENTS
- /
- 0 LIKES
-
최용일•2005.12.15 18:26안녕하세요. 최용일입니다. 아래와 같이 해보세요... <!--CodeS--> procedure TForm1.Button1...
-
- 델초보
- •
- 2005.12.10 21:49
- 1 COMMENTS
- /
- 0 LIKES
-
김현웅•2005.12.15 01:00델파이 자료실에 강제 재부팅하는 프로그램을 올려뒀습니다~~ 근데 오락한다고 그렇게 강제로 재부팅 시...
-
- 델파이-델짱
- 2005.12.09 20:02
- 0 COMMENTS
- /
- 0 LIKES
-
- 정원혁
- 2005.12.09 19:37
- 0 COMMENTS
- /
- 0 LIKES
-
- 이경원
- •
- 2005.12.09 00:04
- 5 COMMENTS
- /
- 0 LIKES
-
장덕곤•2005.12.09 02:23StringGrid 의 이벤트중에서 select cell 이라는 이벤트가있습니다. 그기에 brush.color :=...
-
이경원•2005.12.09 02:31답변 감사합니다. 해 봤는데 StringGrid에 Click을 하면 아래 이벤트가 발생해서 색깔이 흰색이 되는데 ...
-
KDDG_RNStone•2005.12.09 18:33하나의 그리드에서 빠져나왔을 때 파란색이 나온다는 말씀이죠? 이거 예전에 제가 델마당에서 본것으로 ...
-
이경원•2005.12.09 19:42답변 감사합니다. 찾아봤는데 2개정도 있긴한데 거기 답대로 해도 하나의 그리드를 빠져나오면 파란색 색...
-
KDDG_RNStone•2005.12.09 22:24DrawCell Event 맨 처음에 이거 한 번 넣어 보시죠. begin If (gd...
-
- 이용범
- •
- 2005.12.08 23:11
- 2 COMMENTS
- /
- 0 LIKES
-
이희진•2005.12.09 19:06ActiveX Control의 타입라이브러리에 메소드를 추가하여 외부 jsp에서 해당 메소드를 호출하는 방식(넘겨...
-
이용범•2005.12.10 00:41답변 감사드립니다 ^^; 단지 제가 의심 스러운건 웹페이지에서 데이터를 넘겨줄 ActiveX control이 ...
-
- 정원혁
- •
- 2005.12.08 22:41
- 2 COMMENTS
- /
- 0 LIKES
-
박홍재•2005.12.09 01:19참고.... 예전에 오라클에서 스토드 사용할때 많이 써보고 요즘은 잘 쓰지 않아서 어찌했는...
-
정원혁•2005.12.09 17:11Zeros Access -> TZStored Procedure 에서 Prepared, Prepare, UnPrepare 이론 메소드는 없는데염!!!!
-
- 이경원
- •
- 2005.12.08 20:32
- 2 COMMENTS
- /
- 0 LIKES
-
최용일•2005.12.09 03:59안녕하세요. 최용일입니다. 에러메세지를 보면... 흠... FColName란 필드를 생성하지 않으신것 같네요.....
-
이경원•2005.12.09 18:55답변 감사합니다. 아래대로 해서 Error는 Clear되었는데 다른 문제가 있어서요.. Object Inspector상에서...
LocalFree로 해결이 되었네요
이 소스의 원본 링크는 다음과 같으며 아래 원본 소스도 메모리누수 문제가 있습니다.
http://www.dragonsoftru.com/articles/EventLog.html
http://bdn.borland.com/article/0,1410,32435,00.html