從.evt文件中獲取WinAPI LookupAccountSid

Question

我試圖從.evt文件（事件日誌）中獲取用戶SID的用戶帳戶名。到現在爲止，我已經成功讀取了該文件，並且可以在事件記錄時訪問活動用戶的SID。

要想從本SID我使用執行LookupAccountSid功能的用戶名：

wstring userNameFromSid(SID userSid,wstring computerName) 
     { 
      DWORD size = 256; 
      wchar_t * buff = (wchar_t*)malloc(sizeof(wchar_t)*size); 
      wchar_t * buffDomain = (wchar_t*)malloc(sizeof(wchar_t)*size); 
      SID_NAME_USE SidType; 
      wstring result; 
      SID tmpSid = userSid; 

      if(LookupAccountSid(computerName.c_str(), &tmpSid, buff, &size, buffDomain, &size, &SidType)){ 
       result= buff; 
      } 
      else 
      { 
       /*Here some code to print error in a Message box*/ 
      } 

      free(buff); 
      free(buffDomain); 
      return result; 
     } 

當我嘗試在本地.EVT文件，但我的許多.EVT文件都來自這工作正常遠程計算機，這是問題所在。事實上，當我嘗試使用遠程計算機名稱時，我得到一個代碼爲的ERROR_NONE_MAPPED代碼。
大量的研究後，我仍然解決不了問題（這開始是討厭）

注：
我用隨機假的計算機名稱試圖細化問題，我得到一個錯誤1722 ：rpc服務器不可用女巫預計，所以我能夠連接rpc（當我給出正確的名稱）。

謝謝你在前進，

Answer 1

您輸入/輸出參數使用相同的size變量多。不要這樣做。改爲使用單獨的變量。如果computerName爲空，您也不會考慮。

試試這個：

static const DWORD MAX_BUFF_SIZE = 256; 

wstring userNameFromSid(SID userSid, wstring computerName) 
{ 
    wchar_t buffName[MAX_BUFF_SIZE]; 
    DWORD buffNameSize = MAX_BUFF_SIZE; 
    wchar_t buffDomain[MAX_BUFF_SIZE]; 
    DWORD buffDomainSize = MAX_BUFF_SIZE; 
    SID_NAME_USE SidType; 

    if (LookupAccountSid(!computerName.empty() ? computerName.c_str() : NULL, &userSid, buffName, &buffNameSize, buffDomain, &buffDomainSize, &SidType)) 
    { 
     return buffName; 
    } 

    /*Here some code to print error in a Message box*/ 
    return L""; 
}