Clé Eventlog

Note

L’API De journalisation des événements a été conçue pour les applications qui s’exécutent sur le système d’exploitation Windows Server 2003, Windows XP ou Windows 2000. Dans Windows Vista, l’infrastructure de journalisation des événements a été repensée. Les applications conçues pour s’exécuter sur les systèmes d’exploitation Windows Vista ou ultérieur doivent désormais utiliser le journal des événements Windows.

Le journal des événements contient les journaux standard suivants, ainsi que les journaux personnalisés :

Rapport	Description
application	Contient les événements enregistrés par les applications. Par exemple, une application de base de données peut enregistrer une erreur de fichier. Le développeur d’applications décide des événements à enregistrer.
sécurité	Contient des événements tels que des tentatives d’ouverture de session valides et non valides, ainsi que des événements liés à l’utilisation des ressources, tels que la création, l’ouverture ou la suppression de fichiers ou d’autres objets. Un administrateur peut démarrer l’audit pour enregistrer les événements dans le journal de sécurité.
système	Contient les événements enregistrés par les composants système, tels que l’échec d’un pilote ou d’un autre composant système à charger pendant le démarrage.
CustomLog	Contient les événements enregistrés par les applications qui créent un journal personnalisé. L’utilisation d’un journal personnalisé permet à une application de contrôler la taille du journal ou d’attacher des ACL à des fins de sécurité sans affecter d’autres applications.

Le service de journalisation des événements utilise les informations stockées dans la clé de Registre Eventlog. La clé eventlog contient plusieurs sous-clés, appelées journaux d’activité. Chaque journal contient des informations que le service de journalisation des événements utilise pour localiser les ressources lorsqu’une application écrit et lit dans le journal des événements.

La structure de la clé Eventlog est la suivante :

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Notez que les contrôleurs de domaine enregistrent des événements dans le service d’annuaire et service de réplication de fichiers les journaux et les serveurs DNS enregistrent des événements dans les du serveur DNS.

Chaque journal peut contenir les valeurs de Registre suivantes.

Valeur du Registre	Description
CustomSD	Limite l’accès au journal des événements. Cette valeur est de type REG_SZ. Le format utilisé est langage de définition de descripteur de sécurité (SDDL). Construisez une liste de contrôle d’accès qui accorde un ou plusieurs des droits suivants : Effacer (0x0004) Lecture (0x0001) Écriture (0x0002) Pour être un SDDL valide de manière syntactique, la valeur CustomSD doit spécifier un propriétaire et un propriétaire de groupe (par exemple, O :BAG :SY), mais le propriétaire du propriétaire et du groupe ne sont pas utilisés. Si CustomSD est défini sur une valeur incorrecte, un événement est déclenché dans le journal des événements système au démarrage du service du journal des événements, et le journal des événements obtient un descripteur de sécurité par défaut identique à la valeur CustomSD d’origine pour le journal des applications. Les listes SACL ne sont pas prises en charge. Pour plus d’informations, consultez sécurité de journalisation des événements.
DisplayNameFile	Cette valeur n’est pas utilisée.
displayNameID	Cette valeur n’est pas utilisée.
fichier	Chemin d’accès complet au fichier dans lequel chaque journal des événements est stocké. Cela permet à l’Observateur d’événements et à d’autres applications de rechercher les fichiers journaux. Cette valeur est de type REG_SZ ou REG_EXPAND_SZ. Cette valeur est facultative. Si la valeur n’est pas spécifiée, elle est par défaut %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe ou à l’aide de la fonction EvtSetChannelConfigProperty avec EvtChannelLoggingConfigLogFilePath passé dans le paramètre PropertyId. Si un fichier spécifique est défini, vérifiez que le service du journal des événements dispose d’autorisations complètes sur le fichier. Cette valeur doit être un nom de fichier valide pour un fichier situé dans un répertoire local (pas un ordinateur distant, pas un appareil DOS, pas une floppie, et non un canal). Si le paramètre de fichier est incorrect, un événement est déclenché dans le journal des événements système au démarrage du service du journal des événements. N’utilisez pas de variables d’environnement, dans le chemin d’accès au fichier, qui ne peuvent pas être développées dans le contexte du service du journal des événements.
MaxSize	Taille maximale, en octets, du fichier journal. Cette valeur est de type REG_DWORD. La valeur doit être définie sur un multiple de 64 000 pour un journal système, application ou sécurité. La valeur par défaut est 1 Mo.
PrimaryModule	Cette valeur n’est pas utilisée.
de rétention	Cette valeur est de type REG_DWORD. La valeur par défaut est 0. Si cette valeur est 0, les enregistrements d’événements sont toujours remplacés. Si cette valeur est 0xFFFFFFFF ou n’importe quelle valeur différente de zéro, les enregistrements ne sont jamais remplacés. Lorsque le fichier journal atteint sa taille maximale, vous devez effacer le journal manuellement ; sinon, les nouveaux événements sont ignorés. Vous devez également effacer le journal avant de pouvoir modifier sa taille.
sources	Cette valeur n’est pas utilisée.
AutoBackupLogFiles	Cette valeur est de type REG_DWORD et est utilisée par le service de journal des événements pour déterminer si un journal des événements doit être enregistré automatiquement. La valeur par défaut est 0, ce qui désactive la sauvegarde automatique. Le service sauvegarde le fichier journal uniquement si la valeur de rétention est -1 (0xFFFFFFFF). D’autres valeurs seront ignorées.Windows Server 2003 : rétention peut être définie sur -1 (0xFFFFFFFF) ou 1 (0x00000001) pour que les fichiers AutoBackupLogFiles fonctionnent. D’autres valeurs seront ignorées.
RestrictGuestAccess	Cette valeur n’est pas utilisée.
isolation	Définit les autorisations d’accès par défaut pour le journal. Cette valeur est de type REG_SZ. Vous pouvez spécifier l’une des valeurs suivantes : application système personnalisée L’isolation par défaut est application. Les autorisations par défaut pour application sont (affichées à l’aide de SDDL) : L"O:BAG:SYD:" L"(A;;0xf0007;;;SY)" // local system (read, write, clear) L"(A;;0x7;;;BA)" // built-in admins (read, write, clear) L"(A;;0x7;;;SO)" // server operators (read, write, clear) L"(A;;0x3;;;IU)" // INTERACTIVE LOGON (read, write) L"(A;;0x3;;;SU)" // SERVICES LOGON (read, write) L"(A;;0x3;;;S-1-5-3)" // BATCH LOGON (read, write) L"(A;;0x3;;;S-1-5-33)" // write restricted service (read, write) L"(A;;0x1;;;S-1-5-32-573)"; // event log readers (read) Les autorisations par défaut pour système sont (affichées à l’aide de SDDL) : L"O:BAG:SYD:" L"(A;;0xf0007;;;SY)" // local system (read, write, clear) L"(A;;0x7;;;BA)" // built-in admins (read, write, clear) L"(A;;0x3;;;BO)" // backup operators (read, write) L"(A;;0x5;;;SO)" // server operators (read, clear) L"(A;;0x1;;;IU)" // INTERACTIVE LOGON (read) L"(A;;0x3;;;SU)" // SERVICES LOGON (read, write) L"(A;;0x1;;;S-1-5-3)" // BATCH LOGON (read) L"(A;;0x2;;;S-1-5-33)" // write restricted service (write) L"(A;;0x1;;;S-1-5-32-573)"; // event log readers (read) Les autorisations par défaut pour isolation de personnalisée sont identiques à l’application.

Chaque journal contient également des sources d’événements. Pour plus d’informations, consultez sources d’événements.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-16

Partager via

Clé Eventlog

Commentaires

Ressources supplémentaires