Udostępnij przez

Klucz dziennika zdarzeń

Uwaga / Notatka

Interfejs API rejestrowania zdarzeń został zaprojektowany dla aplikacji działających w systemie operacyjnym Windows Server 2003, Windows XP lub Windows 2000. W systemie Windows Vista przeprojektowano infrastrukturę rejestrowania zdarzeń. Aplikacje przeznaczone do uruchamiania w systemach operacyjnych Windows Vista lub nowszych powinny teraz używać dziennika zdarzeń systemu Windows.

Dziennik zdarzeń zawiera następujące standardowe dzienniki, a także dzienniki niestandardowe:

Log Description
Application Zawiera zdarzenia rejestrowane przez aplikacje. Na przykład aplikacja bazy danych może rejestrować błąd pliku. Deweloper aplikacji decyduje o tym, które zdarzenia mają być rejestrowane.
Bezpieczeństwo Zawiera zdarzenia, takie jak prawidłowe i nieprawidłowe próby logowania, a także zdarzenia związane z użyciem zasobów, takie jak tworzenie, otwieranie lub usuwanie plików lub innych obiektów. Administrator może rozpocząć inspekcję w celu rejestrowania zdarzeń w dzienniku zabezpieczeń.
System Zawiera zdarzenia rejestrowane przez składniki systemowe, takie jak awaria sterownika lub innego składnika systemu do załadowania podczas uruchamiania.
Dziennik niestandardowy Zawiera zdarzenia rejestrowane przez aplikacje, które tworzą dziennik niestandardowy. Użycie dziennika niestandardowego umożliwia aplikacji kontrolowanie rozmiaru dziennika lub dołączania list ACL do celów zabezpieczeń bez wpływu na inne aplikacje.

Usługa rejestrowania zdarzeń używa informacji przechowywanych w kluczu rejestru eventlog . Klucz dziennika zdarzeń zawiera kilka podkluczy nazywanych dziennikami. Każdy dziennik zawiera informacje używane przez usługę rejestrowania zdarzeń do lokalizowania zasobów podczas zapisywania i odczytu aplikacji z dziennika zdarzeń.

Struktura klucza dziennika zdarzeń jest następująca:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Należy pamiętać, że kontrolery domeny rejestrują zdarzenia w usłudze katalogowej i dziennikach usługi replikacji plików oraz serwerach DNS rejestrują zdarzenia na serwerze DNS.

Każdy dziennik może zawierać następujące wartości rejestru.

Wartość rejestru Description
CustomSD Ogranicza dostęp do dziennika zdarzeń. Ta wartość jest typu REG_SZ. Używany format to Security Descriptor Definition Language (SDDL). Utwórz listę ACL, która przyznaje co najmniej jedno z następujących praw:
Wyczyść (0x0004)
Odczyt (0x0001)
Zapis (0x0002)
Aby być prawidłowym składniowo sdDL, wartość CustomSD musi określić właściciela i właściciela grupy (na przykład O:BAG:SY), ale właściciel i właściciel grupy nie są używane. Jeśli właściwość CustomSD jest ustawiona na nieprawidłową wartość, zdarzenie jest uruchamiane w dzienniku zdarzeń systemu po uruchomieniu usługi dziennika zdarzeń, a dziennik zdarzeń pobiera domyślny deskryptor zabezpieczeń, który jest identyczny z oryginalną wartością CustomSD dziennika aplikacji. SacLs nie są obsługiwane.
Aby uzyskać więcej informacji, zobacz Zabezpieczenia rejestrowania zdarzeń.
DisplayNameFile Ta wartość nie jest używana.
DisplayNameID Ta wartość nie jest używana.
Plik W pełni kwalifikowana ścieżka do pliku, w którym jest przechowywany każdy dziennik zdarzeń. Dzięki temu przeglądarka zdarzeń i inne aplikacje mogą znajdować pliki dziennika. Ta wartość jest typu REG_SZ lub REG_EXPAND_SZ. Ta wartość jest opcjonalna. Jeśli wartość nie jest określona, wartość domyślna to %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe lub przy użyciu funkcji EvtSetChannelConfigProperty z elementem EvtChannelLoggingConfigLogFilePath przekazanym do parametru PropertyId .
Jeśli określony plik jest ustawiony, upewnij się, że usługa dziennika zdarzeń ma pełne uprawnienia do pliku.
Ta wartość musi być prawidłową nazwą pliku znajdującego się w katalogu lokalnym (a nie komputerem zdalnym, a nie urządzeniem DOS, a nie dyskietką, a nie potokiem). Jeśli ustawienie pliku jest nieprawidłowe, zdarzenie zostanie wyzwolone w dzienniku zdarzeń systemu po uruchomieniu usługi dziennika zdarzeń.
Nie należy używać zmiennych środowiskowych w ścieżce do pliku, których nie można rozszerzyć w kontekście usługi dziennika zdarzeń.
MaxSize Maksymalny rozmiar w bajtach pliku dziennika. Ta wartość jest typu REG_DWORD. Wartość musi być ustawiona na wielokrotność 64K dla dziennika systemowego, aplikacji lub zabezpieczeń. Wartość domyślna to 1 MB.
Tryb podstawowy Ta wartość nie jest używana.
Przechowywania Ta wartość jest typu REG_DWORD. Wartość domyślna to 0. Jeśli ta wartość to 0, rekordy zdarzeń są zawsze zastępowane. Jeśli ta wartość jest 0xFFFFFFFF lub jakakolwiek wartość niezerowa, rekordy nigdy nie są zastępowane. Gdy plik dziennika osiągnie maksymalny rozmiar, należy ręcznie wyczyścić dziennik. w przeciwnym razie nowe zdarzenia są odrzucane. Przed zmianą rozmiaru dziennika należy również wyczyścić dziennik.
Źródeł Ta wartość nie jest używana.
AutoBackupLogFiles Ta wartość jest typu REG_DWORD i jest używana przez usługę dziennika zdarzeń w celu określenia, czy dziennik zdarzeń ma być zapisywany automatycznie. Wartość domyślna to 0, która wyłącza automatyczne tworzenie kopii zapasowej. Usługa utworzy kopię zapasową pliku dziennika tylko wtedy, gdy wartość przechowywania jest -1 (0xFFFFFFFF). Inne wartości zostaną zignorowane. Windows Server 2003: Przechowywanie można ustawić na -1 (0xFFFFFFFF) lub 1 (0x00000001), aby autobackupLogFiles działały. Inne wartości zostaną zignorowane.
RestrictGuestAccess Ta wartość nie jest używana.
Izolacja Definiuje domyślne uprawnienia dostępu dla dziennika. Ta wartość jest typu REG_SZ. Możesz określić jedną z następujących wartości:
  • Application
  • System
  • Okres niestandardowy
Domyślna izolacja to Aplikacja. Domyślne uprawnienia dla aplikacji są (wyświetlane przy użyciu sdDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Domyślne uprawnienia dla systemu to (wyświetlane przy użyciu sdDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Domyślne uprawnienia izolacji niestandardowej są takie same jak w przypadku aplikacji.

Każdy dziennik zawiera również źródła zdarzeń. Aby uzyskać więcej informacji, zobacz Źródła zdarzeń.

  • Last updated on