В системах пост-vista с новым eventlog'ом? А в системах с старым eventlog'ом, типо Windows Server 2003 R2? А если журнал перезаписывает старые записи? Индекс сбрасывается в ноль или во время прихода первого события в журнал ему присваивается индекс 1 и до бесконечности они растут?

bazile, вот об этом, если смотреть XML события виндовз 7 <EventRecordID>3372</EventRecordID>. Где он находится в старом ивентлоге - неизвестно, да и не нужно, это индекс записи в журнале событий, Entry.Index

bazile, да я пишу парсилку eventlog'a для старый версий windows, где был старый апи доступа к журналу. Его я не осилил, к сожалению, так что пишу на дотнете с примененением класса Eventlog, а он не предоставляет механизма закладок, как новый WinAPI. Поэтому я хотел реализовать механизм закладок самостоятельно, так как неизвестно что с моим набыдлокоденным сервисом будет происходить вообще, а с закладкой он при запуске может выбрать недостающие события и записать их в лог.
Служба для пост-виста апи доступа к журналу у меня написана на Visual C++, но для старых API она не катит вообще, к сожалению. Спасибо за помощь!

bazile, вот то, что в этой статье описано, только без powershell, без баз и с подпиской на ивент и в виде службы виндовс