共用方式為

Eventlog 索引鍵

備註

事件記錄 API 是專為在 Windows Server 2003、Windows XP 或 Windows 2000 作業系統上執行的應用程式所設計。 在 Windows Vista 中,事件記錄基礎結構已重新設計。 設計為在 Windows Vista 或更新版本作業系統上執行的應用程式現在應該使用 Windows 事件記錄檔

事件記錄檔包含下列標準記錄和自訂記錄:

日誌 描述
應用程式 包含應用程式所記錄的事件。 例如,資料庫應用程式可能會記錄檔案錯誤。 應用程式開發人員會決定要記錄的事件。
安全性 包含有效和無效登入嘗試等事件,以及與資源使用相關的事件,例如建立、開啟或刪除檔案或其他物件。 系統管理員可以開始稽核,以記錄安全性記錄檔中的事件。
系統 包含系統元件所記錄的事件,例如驅動程式或其他系統元件在啟動期間載入失敗。
CustomLog 包含應用程式所記錄的事件,這些事件是由建立自定義記錄檔的應用程式所記錄。 使用自定義記錄可讓應用程式控制記錄檔的大小,或基於安全性目的附加 ACL,而不會影響其他應用程式。

事件記錄服務會使用儲存在 Eventlog 登錄機碼中的資訊。 Eventlog 機碼包含數個子機碼,稱為 記錄。 每個記錄檔都包含事件記錄服務在應用程式寫入事件記錄檔並從中讀取時,用來尋找資源的資訊。

Eventlog 索引鍵的結構如下所示:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

請注意,網域控制器會在 Directory 服務中記錄事件,檔案復寫服務 記錄和 DNS 伺服器記錄 DNS 伺服器中的事件

每個記錄檔都可以包含下列登錄值。

登錄值 描述
CustomSD 限制事件記錄檔的存取。 此值的類型為 REG_SZ。 所使用的格式 安全性描述元定義語言 (SDDL)。 建構授與下列一或多個許可權的 ACL:
清除 (0x0004)
閱讀 (0x0001)
寫入 (0x0002)
若要成為語法有效的 SDDL,CustomSD 值必須指定擁有者和群組擁有者(例如 O:BAG:SY),但不會使用擁有者和群組擁有者。 如果 CustomSD 設定為錯誤值,事件記錄檔服務啟動時會在系統事件記錄檔中引發事件,而事件記錄檔會取得預設的安全性描述元,其與應用程式記錄檔的原始 CustomSD 值相同。 不支援 SCL。
如需詳細資訊,請參閱 事件記錄安全性
DisplayNameFile 未使用此值。
DisplayNameID 未使用此值。
檔案 儲存每個事件記錄檔之檔案的完整路徑。 這可讓事件查看器和其他應用程式尋找記錄檔。 此值的類型為 REG_SZ 或 REG_EXPAND_SZ。 這個值是選擇性的。 如果未指定值,它會預設為 %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe 或使用 EvtSetChannelConfigProperty 函式搭配 EvtChannelLoggingConfigLogFilePath 傳遞至 PropertyId 參數。
如果已設定特定檔案,請確定事件記錄服務具有檔案的完整許可權。
此值必須是位於本機目錄的檔案的有效檔名(不是遠端計算機、DOS 裝置、磁碟片,也不是管道)。 如果檔案設定錯誤,事件記錄檔服務啟動時,會在系統事件記錄檔中引發事件。
請勿在檔案的路徑中使用環境變數,無法在事件記錄服務的內容中展開。
MaxSize 記錄檔的大小上限,以位元組為單位。 此值的類型為 REG_DWORD。 此值必須設定為系統、應用程式或安全性記錄檔的 64K 倍數。 預設值為 1MB。
PrimaryModule 未使用此值。
保留 此值的類型為 REG_DWORD。 預設值為 0。 如果此值為 0,則一律會覆寫事件記錄。 如果此值是0xFFFFFFFF或任何非零值,則永遠不會覆寫記錄。 當記錄檔達到其大小上限時,您必須手動清除記錄檔;否則會捨棄新的事件。 您也必須先清除記錄檔,才能變更其大小。
來源 未使用此值。
AutoBackupLogFiles 此值的類型為 REG_DWORD,事件記錄服務會使用此值來判斷是否應該自動儲存事件記錄檔。 默認值為 0,這會停用自動備份。 只有在保留值 -1 時,服務才會備份記錄檔(0xFFFFFFFF)。 將會忽略其他值。Windows Server 2003: 保留期可以設定為 -1 (0xFFFFFFFF) 或 1 (0x00000001),讓 AutoBackupLogFiles 能夠運作。 將會忽略其他值。
RestrictGuestAccess 未使用此值。
隔離 定義記錄的預設訪問許可權。 此值的類型為 REG_SZ。 您可以指定下列其中一個值:
  • 應用程式
  • 系統
  • 自定義
默認隔離是應用程式 應用程式 的預設權限為 (使用 SDDL 顯示):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
系統 的預設權限為 (使用 SDDL 顯示):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
自定義 隔離的默認許可權與應用程式相同。

每個記錄檔也包含事件來源。 如需詳細資訊,請參閱 事件來源

  • Last updated on