Delen via

Eventlog-sleutel

Opmerking

De Event Logging-API is ontworpen voor toepassingen die worden uitgevoerd op het besturingssysteem Windows Server 2003, Windows XP of Windows 2000. In Windows Vista is de infrastructuur voor logboekregistratie opnieuw ontworpen. Toepassingen die zijn ontworpen om te worden uitgevoerd op de besturingssystemen Windows Vista of hoger, moeten nu gebruikmaken van Windows-gebeurtenislogboek.

Het gebeurtenislogboek bevat de volgende standaardlogboeken en aangepaste logboeken:

Log Beschrijving
toepassings- Bevat gebeurtenissen die zijn vastgelegd door toepassingen. Een databasetoepassing kan bijvoorbeeld een bestandsfout vastleggen. De toepassingsontwikkelaar bepaalt welke gebeurtenissen moeten worden vastgelegd.
Security Bevat gebeurtenissen zoals geldige en ongeldige aanmeldingspogingen, evenals gebeurtenissen met betrekking tot resourcegebruik, zoals het maken, openen of verwijderen van bestanden of andere objecten. Een beheerder kan de controle starten om gebeurtenissen in het beveiligingslogboek vast te leggen.
System Bevat gebeurtenissen die zijn vastgelegd door systeemonderdelen, zoals de fout van een stuurprogramma of een ander systeemonderdeel dat tijdens het opstarten wordt geladen.
CustomLog- Bevat gebeurtenissen die zijn vastgelegd door toepassingen die een aangepast logboek maken. Met behulp van een aangepast logboek kan een toepassing de grootte van het logboek beheren of ACL's koppelen voor beveiligingsdoeleinden zonder dat dit van invloed is op andere toepassingen.

De gebeurtenislogboekservice gebruikt de gegevens die zijn opgeslagen in de Eventlog registersleutel. De Eventlog-sleutel bevat verschillende subsleutels, logboekengenoemd. Elk logboek bevat informatie die de gebeurtenislogboekservice gebruikt om resources te vinden wanneer een toepassing naar het gebeurtenislogboek schrijft en leest.

De structuur van de Eventlog-sleutel is als volgt:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Houd er rekening mee dat domeincontrollers gebeurtenissen vastleggen in de Directory-service en File Replication-service logboeken en DNS-servers gebeurtenissen vastleggen in de DNS-server.

Elk logboek kan de volgende registerwaarden bevatten.

Registerwaarde Beschrijving
CustomSD- Hiermee wordt de toegang tot het gebeurtenislogboek beperkt. Deze waarde is van het type REG_SZ. De gebruikte indeling is Security Descriptor Definition Language (SDDL). Maak een ACL die een of meer van de volgende rechten verleent:
Wissen (0x0004)
Lezen (0x0001)
Schrijven (0x0002)
Als u een syntactisch geldige SDDL wilt zijn, moet de CustomSD-waarde een eigenaar en een groepseigenaar opgeven (bijvoorbeeld O:BAG:SY), maar de eigenaar en groepseigenaar worden niet gebruikt. Als CustomSD is ingesteld op een verkeerde waarde, wordt een gebeurtenis geactiveerd in het gebeurtenislogboek van het systeem wanneer de gebeurtenislogboekservice wordt gestart en krijgt het gebeurtenislogboek een standaardbeveiligingsdescriptor die identiek is aan de oorspronkelijke CustomSD-waarde voor het toepassingslogboek. SACL's worden niet ondersteund.
Zie Event Logging Securityvoor meer informatie.
DisplayNameFile- Deze waarde wordt niet gebruikt.
DisplayNameID- Deze waarde wordt niet gebruikt.
bestand Volledig gekwalificeerd pad naar het bestand waarin elk gebeurtenislogboek wordt opgeslagen. Hierdoor kunnen Logboeken en andere toepassingen de logboekbestanden vinden. Deze waarde is van het type REG_SZ of REG_EXPAND_SZ. Deze waarde is optioneel. Als de waarde niet is opgegeven, wordt deze standaard ingesteld op %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe of met behulp van de functie EvtSetChannelConfigProperty met EvtChannelLoggingConfigLogFilePath die is doorgegeven aan de parameter PropertyId.
Als een specifiek bestand is ingesteld, moet u ervoor zorgen dat de gebeurtenislogboekservice volledige machtigingen voor het bestand heeft.
Deze waarde moet een geldige bestandsnaam zijn voor een bestand dat zich in een lokale map bevindt (niet een externe computer, geen DOS-apparaat, geen diskette en geen pipe). Als de bestandsinstelling onjuist is, wordt er een gebeurtenis geactiveerd in het gebeurtenislogboek van het systeem wanneer de gebeurtenislogboekservice wordt gestart.
Gebruik geen omgevingsvariabelen, in het pad naar het bestand, die niet kunnen worden uitgebreid in de context van de gebeurtenislogboekservice.
MaxSize Maximale grootte, in bytes, van het logboekbestand. Deze waarde is van het type REG_DWORD. De waarde moet worden ingesteld op een veelvoud van 64K voor een systeem-, toepassings- of beveiligingslogboek. De standaardwaarde is 1 MB.
PrimaryModule- Deze waarde wordt niet gebruikt.
retentie Deze waarde is van het type REG_DWORD. De standaardwaarde is 0. Als deze waarde 0 is, worden de records van gebeurtenissen altijd overschreven. Als deze waarde 0xFFFFFFFF of een andere niet-nulwaarde is, worden records nooit overschreven. Wanneer het logboekbestand de maximale grootte bereikt, moet u het logboek handmatig wissen; anders worden nieuwe gebeurtenissen verwijderd. U moet het logboek ook wissen voordat u de grootte kunt wijzigen.
bronnen Deze waarde wordt niet gebruikt.
AutoBackupLogFiles Deze waarde is van het type REG_DWORD en wordt gebruikt door de gebeurtenislogboekservice om te bepalen of een gebeurtenislogboek automatisch moet worden opgeslagen. De standaardwaarde is 0, waardoor automatische back-up wordt uitgeschakeld. De service maakt alleen een back-up van het logboekbestand als de retentiewaarde is -1 (0xFFFFFFFF). Andere waarden worden genegeerd.Windows Server 2003: retentie kan worden ingesteld op -1 (0xFFFFFFFF) of 1 (0x00000001) zodat AutoBackupLogFiles werkt. Andere waarden worden genegeerd.
RestrictGuestAccess- Deze waarde wordt niet gebruikt.
isolatie Hiermee definieert u de standaardtoegangsmachtigingen voor het logboek. Deze waarde is van het type REG_SZ. U kunt een van de volgende waarden opgeven:
  • toepassings-
  • System
  • aangepaste
De standaardisolatie is Application. De standaardmachtigingen voor application worden weergegeven (weergegeven met SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
De standaardmachtigingen voor System worden weergegeven (weergegeven met SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
De standaardmachtigingen voor aangepaste isolatie zijn hetzelfde als de toepassing.

Elk logboek bevat ook gebeurtenisbronnen. Zie Gebeurtenisbronnenvoor meer informatie.

  • Last updated on