Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
La API de registro de eventos se diseñó para aplicaciones que se ejecutan en el sistema operativo Windows Server 2003, Windows XP o Windows 2000. En Windows Vista, se ha rediseñado la infraestructura de registro de eventos. Las aplicaciones diseñadas para ejecutarse en los sistemas operativos Windows Vista o versiones posteriores ahora deben usar el registro de eventos de Windows.
El registro de eventos contiene los siguientes registros estándar, así como registros personalizados:
| Registro | Descripción |
|---|---|
| Application | Contiene eventos registrados por aplicaciones. Por ejemplo, una aplicación de base de datos podría registrar un error de archivo. El desarrollador de aplicaciones decide qué eventos se van a registrar. |
| security | Contiene eventos como intentos de inicio de sesión válidos e no válidos, así como eventos relacionados con el uso de recursos, como crear, abrir o eliminar archivos u otros objetos. Un administrador puede empezar a auditar para registrar eventos en el registro de seguridad. |
| System | Contiene eventos registrados por componentes del sistema, como el error de un controlador u otro componente del sistema que se va a cargar durante el inicio. |
| customLog | Contiene eventos registrados por aplicaciones que crean un registro personalizado. El uso de un registro personalizado permite a una aplicación controlar el tamaño del registro o adjuntar ACL con fines de seguridad sin afectar a otras aplicaciones. |
El servicio de registro de eventos usa la información almacenada en el registro de eventos de clave del Registro. La clave eventlog de contiene varias subclaves, denominadas registros de . Cada registro contiene información que el servicio de registro de eventos usa para buscar recursos cuando una aplicación escribe en y lee desde el registro de eventos.
La estructura del eventlog clave es la siguiente:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
Eventlog
Application
Security
System
CustomLog
Tenga en cuenta que los controladores de dominio registran eventos en la del servicio de directorio de y servicio de replicación de archivos registros y servidores DNS registran eventos en el servidor DNS de .
Cada registro puede contener los siguientes valores del Registro.
| Valor del Registro | Descripción |
|---|---|
| CustomSD | Restringe el acceso al registro de eventos. Este valor es de tipo REG_SZ. El formato usado es lenguaje de definición de descriptores de seguridad (SDDL). Construya una ACL que conceda uno o varios de los siguientes derechos:
Lectura (0x0001) Escritura (0x0002) Para obtener más información, consulte seguridad de registro de eventos. |
| displayNameFile de | Este valor no se usa. |
| DisplayNameID | Este valor no se usa. |
| archivo de | Ruta de acceso completa al archivo donde se almacena cada registro de eventos. Esto permite que el Visor de eventos y otras aplicaciones busquen los archivos de registro. Este valor es de tipo REG_SZ o REG_EXPAND_SZ. Este valor es opcional. Si no se especifica el valor, el valor predeterminado es %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe o mediante la funciónEvtSetChannelConfigPropertycon EvtChannelLoggingConfigLogFilePath pasado al parámetro PropertyId. Si se establece un archivo específico, asegúrese de que el servicio de registro de eventos tiene permisos completos en el archivo. Este valor debe ser un nombre de archivo válido para un archivo que se encuentra en un directorio local (no un equipo remoto, no un dispositivo DOS, no un disquete y no una canalización). Si la configuración del archivo es incorrecta, se desencadena un evento en el registro de eventos del sistema cuando se inicia el servicio de registro de eventos. No use variables de entorno, en la ruta de acceso al archivo, que no se puede expandir en el contexto del servicio de registro de eventos. |
| MaxSize | Tamaño máximo, en bytes, del archivo de registro. Este valor es de tipo REG_DWORD. El valor debe establecerse en un múltiplo de 64K para un registro de sistema, aplicación o seguridad. El valor predeterminado es 1 MB. |
| PrimaryModule | Este valor no se usa. |
| retención de | Este valor es de tipo REG_DWORD. El valor predeterminado es 0. Si este valor es 0, los registros de eventos siempre se sobrescriben. Si este valor es 0xFFFFFFFF o cualquier valor distinto de cero, los registros nunca se sobrescriben. Cuando el archivo de registro alcanza su tamaño máximo, debe borrar el registro manualmente; De lo contrario, se descartan nuevos eventos. También debe borrar el registro para poder cambiar su tamaño. |
| orígenes de | Este valor no se usa. |
| AutoBackupLogFiles | Este valor es de tipo REG_DWORD y lo usa el servicio de registro de eventos para determinar si se debe guardar automáticamente un registro de eventos. El valor predeterminado es 0, que deshabilita la copia de seguridad automática. El servicio realizará una copia de seguridad del archivo de registro solo si el valor de retención es -1 (0xFFFFFFFF). Se omitirán otros valores.Windows Server 2003: Retención se puede establecer en -1 (0xFFFFFFFF) o 1 (0x00000001) para que los archivos AutoBackupLogFile funcionen. Se omitirán otros valores. |
| RestrictGuestAccess | Este valor no se usa. |
| de aislamiento de | Define los permisos de acceso predeterminados para el registro. Este valor es de tipo REG_SZ. Puede especificar uno de los siguientes valores:
|
Cada registro también contiene orígenes de eventos. Para obtener más información, consulte orígenes de eventos.