Compartilhar via

Tecla Eventlog

Observação

A API de Log de Eventos foi projetada para aplicativos executados no sistema operacional Windows Server 2003, Windows XP ou Windows 2000. No Windows Vista, a infraestrutura de registro em log de eventos foi reprojetada. Os aplicativos projetados para serem executados no Windows Vista ou em sistemas operacionais posteriores agora devem usar o Log de Eventos do Windows.

O log de eventos contém os seguintes logs padrão, bem como logs personalizados:

Log Description
Application Contém eventos registrados por aplicativos. Por exemplo, um aplicativo de banco de dados pode registrar um erro de arquivo. O desenvolvedor de aplicativos decide quais eventos gravar.
Security Contém eventos como tentativas de logon válidas e inválidas, bem como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Um administrador pode iniciar a auditoria para registrar eventos no log de segurança.
System Contém eventos registrados por componentes do sistema, como a falha de um driver ou outro componente do sistema para carregar durante a inicialização.
CustomLog Contém eventos registrados por aplicativos que criam um log personalizado. O uso de um log personalizado permite que um aplicativo controle o tamanho do log ou anexe ACLs para fins de segurança sem afetar outros aplicativos.

O serviço de registro em log de eventos usa as informações armazenadas na chave do Registro eventlog . A chave Eventlog contém várias subchaves, chamadas logs. Cada log contém informações que o serviço de log de eventos usa para localizar recursos quando um aplicativo grava e lê do log de eventos.

A estrutura da chave Eventlog é a seguinte:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Observe que os controladores de domínio registram eventos no serviço de Diretório e logs de serviço de Replicação de Arquivos e servidores DNS registram eventos no servidor DNS.

Cada log pode conter os seguintes valores do Registro.

Valor do Registro Description
CustomSD Restringe o acesso ao log de eventos. Esse valor é do tipo REG_SZ. O formato usado é SDDL ( Linguagem de Definição de Descritor de Segurança ). Construa uma ACL que conceda um ou mais dos seguintes direitos:
Limpar (0x0004)
Leitura (0x0001)
Gravação (0x0002)
Para ser um SDDL sintaticamente válido, o valor CustomSD deve especificar um proprietário e um proprietário de grupo (por exemplo, O:BAG:SY), mas o proprietário e o proprietário do grupo não são usados. Se CustomSD estiver definido como um valor incorreto, um evento será acionado no log de eventos do sistema quando o serviço de log de eventos for iniciado e o log de eventos obterá um descritor de segurança padrão idêntico ao valor customSD original do log de aplicativos. Não há suporte para SACLs.
Para obter mais informações, consulte Segurança de Log de Eventos.
DisplayNameFile Esse valor não é usado.
DisplayNameID Esse valor não é usado.
Arquivo Caminho totalmente qualificado para o arquivo em que cada log de eventos é armazenado. Isso permite que o Visualizador de Eventos e outros aplicativos encontrem os arquivos de log. Esse valor é do tipo REG_SZ ou REG_EXPAND_SZ. Esse valor é opcional. Se o valor não for especificado, o padrão será %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe ou usando a função EvtSetChannelConfigProperty com EvtChannelLoggingConfigLogFilePath passado para o parâmetro PropertyId .
Se um arquivo específico estiver definido, verifique se o serviço de log de eventos tem permissões completas no arquivo.
Esse valor precisa ser um nome de arquivo válido para um arquivo localizado em um diretório local (não em um computador remoto, não em um dispositivo DOS, não em um disquete e não em um pipe). Se a configuração do arquivo estiver errada, um evento será acionado no log de eventos do sistema quando o serviço de log de eventos for iniciado.
Não use variáveis de ambiente, no caminho para o arquivo, que não podem ser expandidas no contexto do serviço de log de eventos.
MaxSize Tamanho máximo, em bytes, do arquivo de log. Esse valor é do tipo REG_DWORD. O valor deve ser definido como um múltiplo de 64K para um log de Sistema, Aplicativo ou Segurança. O valor padrão é 1 MB.
PrimaryModule Esse valor não é usado.
Retenção Esse valor é do tipo REG_DWORD. O valor padrão é 0. Se esse valor for 0, os registros de eventos serão sempre substituídos. Se esse valor for 0xFFFFFFFF ou qualquer valor diferente de zero, os registros nunca serão substituídos. Quando o arquivo de log atinge seu tamanho máximo, você deve limpar o log manualmente; caso contrário, novos eventos são descartados. Você também deve limpar o log antes de alterar seu tamanho.
Fontes Esse valor não é usado.
AutoBackupLogFiles Esse valor é do tipo REG_DWORD e é usado pelo serviço de log de eventos para determinar se um log de eventos deve ser salvo automaticamente. O valor padrão é 0, o que desabilita o backup automático. O serviço fará backup do arquivo de log somente se o valor de retenção for -1 (0xFFFFFFFF). Outros valores serão ignorados. Windows Server 2003: A retenção pode ser definida como -1 (0xFFFFFFFF) ou 1 (0x00000001) para que o AutoBackupLogFiles funcione. Outros valores serão ignorados.
RestrictGuestAccess Esse valor não é usado.
Isolamento Define as permissões de acesso padrão para o log. Esse valor é do tipo REG_SZ. Você pode especificar um dos seguintes valores:
  • Application
  • System
  • Custom
O isolamento padrão é Application. As permissões padrão para o aplicativo são (mostradas usando SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
As permissões padrão para o Sistema são (mostradas usando SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
As permissões padrão para isolamento personalizado são as mesmas que o Aplicativo.

Cada log também contém fontes de evento. Para obter mais informações, consulte Fontes de Eventos.

  • Last updated on