Источники событий
Каждый журнал в ключе журнала событий содержит подразделы, называемые источниками событий. Источник события — это имя программного обеспечения, которое регистрирует событие. Часто это имя приложения или подкомпонента приложения, если приложение большое. В реестр можно добавить не более 16 384 источников событий. Журнал безопасности предназначен только для системного использования. Драйверы устройств должны добавлять свои имена в системный журнал. Приложения и службы должны добавлять свои имена в журнал приложений или создавать пользовательский журнал.
Структура источников событий выглядит следующим образом:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
Нельзя использовать имя источника, которое уже использовалось в качестве имени журнала. Кроме того, имена источников не могут быть иерархическими; то есть они не могут содержать символ обратной косой черты ("\").
Каждый источник событий содержит сведения (например , файл сообщения), относящиеся к программному обеспечению, которое будет регистрировать события, как показано в следующей таблице.
| Значение реестра | Описание |
|---|---|
| CategoryCount | Количество поддерживаемых категорий событий. Это значение имеет тип REG_DWORD. |
| CategoryMessageFile | Путь к файлу сообщения категории. Файл сообщения категории содержит зависимые от языка строки, описывающие категории. Это значение может быть типа REG_SZ или REG_EXPAND_SZ. |
| EventMessageFile | Путь к одному или нескольким файлам сообщений о событиях; используйте точку с запятой для разделения нескольких файлов. Файл сообщения о событиях содержит зависимые от языка строки, описывающие события. Это значение может быть типа REG_SZ или REG_EXPAND_SZ. |
| ParameterMessageFile | Путь к файлу сообщения параметра. Файл сообщения параметров содержит строки, не зависящие от языка, которые необходимо вставить в строки описания события. Это значение может быть типа REG_SZ или REG_EXPAND_SZ. |
| ТипыПоддерживаемые | Битовая маска поддерживаемых типов. Это значение имеет тип REG_DWORD. Это может быть одно или несколько из следующих значений:
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
Когда приложение использует функцию RegisterEventSource или OpenEventLog для получения дескриптора журнала событий, служба ведения журнала событий ищет указанный источник событий в реестре. Например, журнал приложений может содержать источники событий для Microsoft SQL Server и Microsoft Excel. Если приложение использует RegisterEventSource или OpenEventLog с исходным именем Application, SQL или Excel, служба ведения журнала событий возвращает дескриптор в журнал приложений .
Приложение может использовать журнал приложений без добавления нового источника событий в реестр. Если приложение вызывает RegisterEventSource и передает имя источника, которое не удается найти в реестре, служба ведения журнала событий по умолчанию использует журнал приложений . Однако, поскольку нет файлов сообщений, Просмотр событий не может сопоставить идентификаторы событий или категории событий со строкой описания и отобразит ошибку. По этой причине необходимо добавить уникальный источник событий в реестр приложения и указать файл сообщения.