// Copyright (c) 1997-2003 Microsoft Corporation, All Rights Reserved

#pragma autorecover
#pragma classflags(64)
#pragma namespace("\\\\.\\Root\\CIMV2")
instance of __namespace{ name="ms_804";};
#pragma namespace("\\\\.\\Root\\CIMV2\\ms_804")

[AMENDMENT, LOCALE(0x0804) : ToInstance] 
class Win32_NTEventlogFile : CIM_DataFile
{
  [Description("LogFileName 属性指示日志文件的名称。") : Amended ToSubclass] string LogfileName;
  [Description("MaxFileSize 属性指示允许的最大日志文件大小(以字节为单位)。如果文件超过其最大大小，其内容将移到另一个文件，主文件将被清空。如果值为零，则指示没有大小限制。") : Amended ToSubclass] uint32 MaxFileSize;
  [Description("日志文件中的记录数。此值是通过调用 Win32 函数 GetNumberOfEventLogRecords 来确定的。") : Amended ToSubclass] uint32 NumberOfRecords;
  [Description("Windows NT/Windows 2000 事件日志服务为此日志文件使用的当前覆盖策略。此属性可能的值如下: \nWhenNeeded - 此值与 OverWriteOutdated = 0 相对应。\nOutDated - 此值与 OverWriteOutdated 为 1 到 365 相对应。\nNever - 此值与 OverWriteOutdated = 4294967295 相对应。\nOverWriteOutDated 属性(为可写属性)值与 OverWritePolicy 属性(为不可写属性)值之间存在相互依赖性。\n如果将 OverWriteOutDated 属性值更改为 0，则 OverWritePolicy 属性值将为 \"WhenNeeded\"。\n如果将 OverWriteOutDated 属性值更改为 1-365，则 OverWritePolicy 属性值将为 \"outDated\"\n如果将 OverWriteOutDated 属性值更改为 4294967295，则 OverWritePolicy 属性值将为 \"Never\"。") : Amended ToSubclass,Values{"WhenNeeded", "OutDated", "Never"} : Amended ToSubclass] string OverWritePolicy;
  [Description("多少天后可以覆盖事件。值包括:\n0 = 必要时可以覆盖任何项目。1..365 = 可以覆盖日志文件中已存在一年(365 天)或不到一年的事件。4294967295 = 不能覆盖任何项目。\nOverWriteOutDated 属性(为可写属性)值与 OverWritePolicy 属性(为不可写属性)值之间存在相互依赖性。\n如果将 OverWriteOutDated 属性值更改为 0，则 OverWritePolicy 属性值将为 \"WhenNeeded\"\n如果将 OverWriteOutDated 属性值更改为 1-365，则 OverWritePolicy 属性值将为 \"outDated\"\n如果将 OverWriteOutDated 属性值更改为 4294967295，则 OverWritePolicy 属性值将为 \"Never\"。") : Amended ToSubclass,Units("天") : Amended ToSubclass] uint32 OverwriteOutDated;
  [Description("Sources 属性指示已注册为记录到此日志文件的应用程序。") : Amended ToSubclass] string Sources[];
  [Description("清除指定的事件日志，并可以选择将当前日志文件副本保存到备份文件。此方法返回一个整数值，其意义如下: \n0 - 成功完成。\n8 - 用户没有足够的特权。\n21 - 无效参数。\n其他 - 有关上面列出的值以外的整数值，请参阅 Win32 错误代码文档。") : Amended ToSubclass,Values{"成功", "缺少特权", "无效的参数", "其他"} : Amended ToSubclass] uint32 ClearEventlog([Description("一个字符串，用于指定将存放当前事件日志文件副本的文件的名称。如果该文件已存在，则函数将出错。") : Amended ToSubclass,in] string ArchiveFileName);
  [Description("将指定的事件日志保存到备份文件。此方法返回一个整数值，其意义如下: \n0 - 成功完成。\n8 - 用户没有足够的特权。\n21 - 无效参数。\n183 - 存档文件名已存在。无法创建文件。\n其他 - 有关上面列出的值以外的整数值，请参阅 Win32 错误代码文档。") : Amended ToSubclass,Values{"成功", "缺少特权", "无效的参数", "存档文件名已存在。", "其他"} : Amended ToSubclass] uint32 BackupEventlog([Description("用于指定备份文件的名称的字符串。") : Amended ToSubclass,in] string ArchiveFileName);
};

[DisplayName("NT Log Events") : Amended,Description("此类用于从 NT Eventlog 转换实例。") : Amended ToSubclass,AMENDMENT, LOCALE(0x0804) : ToInstance] 
class Win32_NTLogEvent
{
  [DisplayName("Record Number") : Amended,Key : ToInstance ToSubclass DisableOverride,Description("标识 NT Eventlog 日志文件中的事件。此项特定于日志文件，并与日志文件名一起用于唯一标识该类的实例。") : Amended ToSubclass] uint32 RecordNumber;
  [DisplayName("Log File") : Amended,Key : ToInstance ToSubclass DisableOverride,Description("NT Eventlog 日志文件的名称。此项与 RecordNumber 一起用于唯一标识该类的实例。") : Amended ToSubclass] string Logfile;
  [DisplayName("Event Identifier") : Amended,Description("标识事件。此项特定于生成事件日志项目的源，并与 SourceName 一起用于唯一标识 NT 事件类型。") : Amended ToSubclass] uint32 EventIdentifier;
  [DisplayName("Event Code") : Amended,Description("此属性具有 EventIdentifier 属性的低 16 位值。此属性之所以存在是为了与 NT 事件查看器中显示的值相匹配。注意: 对于来自同一源的两个事件，它们的这一属性可能具有相同的值，但这两个事件可能具有不同的严重性和 EventIdentifier 值") : Amended ToSubclass] uint16 EventCode;
  [DisplayName("Source Name") : Amended,Description("长度可变的以 Null 终止的字符串，用于指定生成项目的源(应用程序、服务、驱动程序、子系统)的名称。它与 EventIdentifier 一起用于唯一标识 NT 事件类型。") : Amended ToSubclass] string SourceName;
  [DisplayName("Type") : Amended,Description("指定事件的类型。这是一个枚举字符串") : Amended ToSubclass,Values{"成功", "错误", "警告", "信息", "审核成功", "审核失败"} : Amended ToSubclass] string Type;
  [DisplayName("Category") : Amended,Description("指定该事件的子类别。此子类别特定于源。") : Amended ToSubclass] uint16 Category;
  [DisplayName("Category String") : Amended,Description("指定子类别的转换。此转换特定于源。") : Amended ToSubclass] string CategoryString;
  [DisplayName("Time Generated") : Amended,Description("指定源生成事件的时间。") : Amended ToSubclass] datetime TimeGenerated;
  [DisplayName("Time Written") : Amended,Description("指定事件写入日志文件的时间。") : Amended ToSubclass] datetime TimeWritten;
  [DisplayName("Computer Name") : Amended,Description("长度可变的以 Null 终止的字符串，用于指定生成此事件的计算机名称。") : Amended ToSubclass] string ComputerName;
  [DisplayName("User Name") : Amended,Description("事件发生时的已登录用户的用户名。如果无法确定用户名，则此项将为 NULL") : Amended ToSubclass] string User;
  [DisplayName("Message") : Amended,Description("NT Eventlog 中显示的事件消息。这是包含零个或多个由 NT 事件源提供的插入字符串的标准消息。插入字符串是采用预定义格式插入到标准消息中的。如果不存在插入字符串，或者对插入字符串执行插入操作时出现问题，则此字段中将只存在标准消息。") : Amended ToSubclass] string Message;
  [DisplayName("Insertion Strings") : Amended,Description("附入 NT 事件报告的插入字符串。") : Amended ToSubclass] string InsertionStrings[];
  [DisplayName("Binary Data") : Amended,Description("附入 NT 事件报告的二进制数据。") : Amended ToSubclass] Uint8 Data[];
  [Description("Type 属性指定事件的类型。") : Amended ToSubclass,DisplayName("Type Event") : Amended,Values{"成功", "错误", "警告", "信息", "安全审核成功", "安全审核失败"} : Amended ToSubclass] uint8 EventType;
};

[Description("Win32_NTLogEventLog 类表示 NT 日志事件与包含该事件的日志文件之间的关联。") : Amended ToSubclass,AMENDMENT, LOCALE(0x0804) : ToInstance] 
class Win32_NTLogEventLog
{
  [Description("Log 属性引用包含 NT 日志事件的日志文件。") : Amended ToSubclass,Key : ToInstance ToSubclass DisableOverride] Win32_NTEventlogFile Ref Log;
  [Description("Record 属性引用 NT 日志事件。") : Amended ToSubclass,Key : ToInstance ToSubclass DisableOverride] Win32_NTLogEvent Ref Record;
};

[Description("Win32_NTLogEventUser 类表示 NT 日志事件与记录该事件时的活动用户之间的关联。") : Amended ToSubclass,AMENDMENT, LOCALE(0x0804) : ToInstance] 
class Win32_NTLogEventUser
{
  [Description("User 属性引用记录该事件时的活动用户。") : Amended ToSubclass,Key : ToInstance ToSubclass DisableOverride] Win32_UserAccount Ref User;
  [Description("Record 属性引用 NT 日志事件。") : Amended ToSubclass,Key : ToInstance ToSubclass DisableOverride] Win32_NTLogEvent Ref Record;
};

[Description("Win32_NTLogEventComputer 类表示 NT 日志事件与生成该事件的计算机之间的关联。") : Amended ToSubclass,AMENDMENT, LOCALE(0x0804) : ToInstance] 
class Win32_NTLogEventComputer
{
  [Description("Computer 属性引用生成事件的计算机。") : Amended ToSubclass,Key : ToInstance ToSubclass DisableOverride] Win32_ComputerSystem Ref Computer;
  [Description("Record 属性引用 NT 日志事件。") : Amended ToSubclass,Key : ToInstance ToSubclass DisableOverride] Win32_NTLogEvent Ref Record;
};