Partilhar via

Chave do registo de eventos

Observação

A API de Registo de Eventos foi concebida para aplicações executadas no sistema operativo Windows Server 2003, Windows XP ou Windows 2000. No Windows Vista, a infraestrutura de log de eventos foi redesenhada. Os aplicativos projetados para serem executados no Windows Vista ou em sistemas operacionais posteriores agora devem usar o Log de Eventos do Windows.

O log de eventos contém os seguintes logs padrão, bem como logs personalizados:

Registo Descrição
Application Contém eventos registrados por aplicativos. Por exemplo, um aplicativo de banco de dados pode registrar um erro de arquivo. O desenvolvedor do aplicativo decide quais eventos registrar.
Segurança Contém eventos como tentativas de logon válidas e inválidas, bem como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Um administrador pode iniciar a auditoria para registrar eventos no log de segurança.
Sistema Contém eventos registrados por componentes do sistema, como a falha de um driver ou outro componente do sistema para carregar durante a inicialização.
CustomLog Contém eventos registrados por aplicativos que criam um log personalizado. O uso de um log personalizado permite que um aplicativo controle o tamanho do log ou anexe ACLs para fins de segurança sem afetar outros aplicativos.

O serviço de registo de eventos utiliza as informações armazenadas no registo Eventlog chave de registo. A chave Eventlog contém várias subchaves, chamadas logs . Cada log contém informações que o serviço de log de eventos usa para localizar recursos quando um aplicativo grava e lê do log de eventos.

A estrutura da chave de do Eventlog é a seguinte:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Observe que os controladores de domínio registram eventos no do serviço de diretório e no serviço de replicação de arquivos logs e servidores DNS registram eventos no servidor DNS.

Cada log pode conter os seguintes valores do Registro.

Valor do Registro Descrição
CustomSD Restringe o acesso ao log de eventos. Este valor é do tipo REG_SZ. O formato usado é Security Descriptor Definition Language (SDDL). Construa uma ACL que conceda um ou mais dos seguintes direitos:
Limpar (0x0004)
Ler (0x0001)
Escrever (0x0002)
Para ser um SDDL sintaticamente válido, o valor CustomSD deve especificar um proprietário e um proprietário de grupo (por exemplo, O:BAG:SY), mas o proprietário e o proprietário do grupo não são usados. Se CustomSD estiver definido como um valor errado, um evento será disparado no log de eventos do sistema quando o serviço de log de eventos for iniciado e o log de eventos obterá um descritor de segurança padrão que é idêntico ao valor CustomSD original para o log do aplicativo. Não há suporte para SACLs.
Para obter mais informações, consulte de segurança do log de eventos .
DisplayNameFile Este valor não é utilizado.
DisplayNameID Este valor não é utilizado.
File Caminho totalmente qualificado para o arquivo onde cada log de eventos está armazenado. Isso permite que o Visualizador de Eventos e outros aplicativos localizem os arquivos de log. Esse valor é do tipo REG_SZ ou REG_EXPAND_SZ. Este valor é opcional. Se o valor não for especificado, o padrão será %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe ou usando a funçãoEvtSetChannelConfigProperty com EvtChannelLoggingConfigLogFilePath passado para o parâmetro PropertyId.
Se um arquivo específico estiver definido, verifique se o serviço de log de eventos tem permissões totais no arquivo.
Esse valor precisa ser um nome de arquivo válido para um arquivo localizado em um diretório local (não um computador remoto, não um dispositivo DOS, não um disquete e não um pipe). Se a configuração do arquivo estiver errada, um evento será disparado no log de eventos do sistema quando o serviço de log de eventos for iniciado.
Não use variáveis de ambiente, no caminho para o arquivo, que não podem ser expandidas no contexto do serviço de log de eventos.
MaxSize Tamanho máximo, em bytes, do ficheiro de registo. Este valor é do tipo REG_DWORD. O valor deve ser definido como um múltiplo de 64K para um log de Sistema, Aplicativo ou Segurança. O valor padrão é 1MB.
PrimaryModule Este valor não é utilizado.
de retenção Este valor é do tipo REG_DWORD. O valor padrão é 0. Se esse valor for 0, os registros de eventos serão sempre substituídos. Se esse valor for 0xFFFFFFFF ou qualquer valor diferente de zero, os registros nunca serão substituídos. Quando o arquivo de log atingir seu tamanho máximo, você deverá limpá-lo manualmente; caso contrário, novos eventos serão descartados. Você também deve limpar o log antes de poder alterar seu tamanho.
Fontes Este valor não é utilizado.
AutoBackupLogFiles Esse valor é do tipo REG_DWORD e é usado pelo serviço de log de eventos para determinar se um log de eventos deve ser salvo automaticamente. O valor padrão é 0, o que desativa o backup automático. O serviço fará backup do arquivo de log somente se o valor de retenção for -1 (0xFFFFFFFF). Outros valores serão ignorados.Windows Server 2003: Retenção de pode ser definida como -1 (0xFFFFFFFF) ou 1 (0x00000001) para que AutoBackupLogFiles funcione. Outros valores serão ignorados.
RestrictGuestAccess Este valor não é utilizado.
Isolamento Define as permissões de acesso padrão para o log. Este valor é do tipo REG_SZ. Você pode especificar um dos seguintes valores:
  • Application
  • Sistema
  • personalizados
O isolamento padrão é Application. As permissões padrão para Application são (mostradas usando SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
As permissões padrão para do sistema são (mostradas usando SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
As permissões padrão para isolamento de personalizado são as mesmas que Aplicativo.

Cada log também contém fontes de eventos. Para obter mais informações, consulte Fontes de eventos.

  • Last updated on