Freigeben über

Eventlog-Schlüssel

Hinweis

Die Ereignisprotokollierungs-API wurde für Anwendungen entwickelt, die auf dem Betriebssystem Windows Server 2003, Windows XP oder Windows 2000 ausgeführt werden. In Windows Vista wurde die Ereignisprotokollierungsinfrastruktur neu gestaltet. Anwendungen, die auf windows Vista oder höher ausgeführt werden sollen, sollten jetzt das Windows-Ereignisprotokoll verwenden.

Das Ereignisprotokoll enthält die folgenden Standardprotokolle sowie benutzerdefinierte Protokolle:

Log Beschreibung
Application Enthält von Anwendungen protokollierte Ereignisse. Beispielsweise kann eine Datenbankanwendung einen Dateifehler aufzeichnen. Der Anwendungsentwickler entscheidet, welche Ereignisse erfasst werden sollen.
Sicherheits- Enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse im Zusammenhang mit der Ressourcenverwendung, z. B. Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Ein Administrator kann mit der Überwachung beginnen, um Ereignisse im Sicherheitsprotokoll aufzuzeichnen.
System- Enthält ereignisse, die von Systemkomponenten protokolliert werden, z. B. das Fehler eines Treibers oder einer anderen Systemkomponente, die beim Start geladen werden.
CustomLog- Enthält von Anwendungen protokollierte Ereignisse, die ein benutzerdefiniertes Protokoll erstellen. Die Verwendung eines benutzerdefinierten Protokolls ermöglicht es einer Anwendung, die Größe des Protokolls zu steuern oder ACLs für Sicherheitszwecke anzufügen, ohne dass sich dies auf andere Anwendungen auswirkt.

Der Ereignisprotokollierungsdienst verwendet die im Eventlog Registrierungsschlüssel gespeicherten Informationen. Der Eventlog--Schlüssel enthält mehrere Unterschlüssel, die Protokollegenannt werden. Jedes Protokoll enthält Informationen, die der Ereignisprotokollierungsdienst verwendet, um Ressourcen zu suchen, wenn eine Anwendung in das Ereignisprotokoll schreibt und liest.

Die Struktur des Eventlog- Schlüssels lautet wie folgt:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Beachten Sie, dass Domänencontroller Ereignisse im Verzeichnisdienst und Dateireplikationsdienst aufzeichnen, Protokolle und DNS-Server-Eintragsereignisse im DNS-Server.

Jedes Protokoll kann die folgenden Registrierungswerte enthalten.

Registrierungswert Beschreibung
customSD- Beschränkt den Zugriff auf das Ereignisprotokoll. Dieser Wert ist vom Typ REG_SZ. Das verwendete Format ist Security Descriptor Definition Language (SDDL). Erstellen Sie eine ACL, die mindestens eine der folgenden Rechte gewährt:
Löschen (0x0004)
Lesen (0x0001)
Schreiben (0x0002)
Um eine syntaktisch gültige SDDL zu sein, muss der CustomSD-Wert einen Besitzer und einen Gruppenbesitzer (z. B. O:BAG:SY) angeben, aber der Besitzer und der Gruppenbesitzer werden nicht verwendet. Wenn CustomSD auf einen falschen Wert festgelegt ist, wird ein Ereignis im Systemereignisprotokoll ausgelöst, wenn der Ereignisprotokolldienst gestartet wird, und das Ereignisprotokoll erhält einen Standardsicherheitsdeskriptor, der mit dem ursprünglichen CustomSD-Wert für das Anwendungsprotokoll identisch ist. SACLs werden nicht unterstützt.
Weitere Informationen finden Sie unter Ereignisprotokollierungssicherheit.
DisplayNameFile- Dieser Wert wird nicht verwendet.
DisplayNameID- Dieser Wert wird nicht verwendet.
Datei- Vollqualifizierter Pfad zu der Datei, in der jedes Ereignisprotokoll gespeichert ist. Dadurch kann die Ereignisanzeige und andere Anwendungen die Protokolldateien finden. Dieser Wert ist vom Typ REG_SZ oder REG_EXPAND_SZ. Dieser Wert ist optional. Wenn der Wert nicht angegeben ist, wird standardmäßig %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe oder mithilfe der EvtSetChannelConfigProperty--Funktion mit evtChannelLoggingConfigLogFilePath an den parameter PropertyId übergeben.
Wenn eine bestimmte Datei festgelegt ist, stellen Sie sicher, dass der Ereignisprotokolldienst über vollständige Berechtigungen für die Datei verfügt.
Dieser Wert muss ein gültiger Dateiname für eine Datei sein, die sich in einem lokalen Verzeichnis befindet (kein Remotecomputer, kein DOS-Gerät, kein Floppy und keine Pipe). Wenn die Dateieinstellung falsch ist, wird ein Ereignis im Systemereignisprotokoll ausgelöst, wenn der Ereignisprotokolldienst gestartet wird.
Verwenden Sie keine Umgebungsvariablen im Pfad zur Datei, die nicht im Kontext des Ereignisprotokolldiensts erweitert werden können.
MaxSize- Maximale Größe in Byte der Protokolldatei. Dieser Wert ist vom Typ REG_DWORD. Der Wert muss auf ein Vielfaches von 64 KB für ein System-, Anwendungs- oder Sicherheitsprotokoll festgelegt werden. Der Standardwert ist 1 MB.
PrimaryModule- Dieser Wert wird nicht verwendet.
Aufbewahrungs- Dieser Wert ist vom Typ REG_DWORD. Der Standardwert ist 0. Wenn dieser Wert 0 ist, werden die Datensätze von Ereignissen immer überschrieben. Wenn dieser Wert 0xFFFFFFFF oder ein nichtzero-Wert ist, werden Datensätze nie überschrieben. Wenn die Protokolldatei die maximale Größe erreicht, müssen Sie das Protokoll manuell löschen. andernfalls werden neue Ereignisse verworfen. Sie müssen das Protokoll auch löschen, bevor Sie die Größe ändern können.
Quellen Dieser Wert wird nicht verwendet.
AutoBackupLogFiles- Dieser Wert ist vom Typ REG_DWORD und wird vom Ereignisprotokolldienst verwendet, um zu bestimmen, ob ein Ereignisprotokoll automatisch gespeichert werden soll. Der Standardwert ist 0, wodurch die automatische Sicherung deaktiviert wird. Der Dienst sichert die Protokolldatei nur, wenn der Aufbewahrungswert -1 ist (0xFFFFFFFF). Andere Werte werden ignoriert.Windows Server 2003: Aufbewahrung kann auf -1 (0xFFFFFFFF) oder 1 (0x00000001) festgelegt werden, damit AutoBackupLogFiles funktioniert. Andere Werte werden ignoriert.
RestrictGuestAccess- Dieser Wert wird nicht verwendet.
Isolation Definiert die Standardzugriffsberechtigungen für das Protokoll. Dieser Wert ist vom Typ REG_SZ. Sie können einen der folgenden Werte angeben:
  • Application
  • System-
  • benutzerdefinierte
Die Standardisolation ist Application. Die Standardberechtigungen für Application sind (mit SDDL dargestellt): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Die Standardberechtigungen für System- sind (mit SDDL dargestellt): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Die Standardberechtigungen für Benutzerdefinierte Isolation sind identisch mit "Anwendung".

Jedes Protokoll enthält auch Ereignisquellen. Weitere Informationen finden Sie unter Ereignisquellen.

  • Last updated on