Поделиться через

Ключ журнала событий

Замечание

API ведения журнала событий предназначен для приложений, работающих в операционной системе Windows Server 2003, Windows XP или Windows 2000. В Windows Vista была изменена инфраструктура ведения журнала событий. Приложения, предназначенные для запуска в операционных системах Windows Vista или более поздних версий, теперь должны использовать журнал событий Windows.

Журнал событий содержит следующие стандартные журналы, а также пользовательские журналы:

Журнал Описание
приложения Содержит события, зарегистрированные приложениями. Например, приложение базы данных может записать ошибку файла. Разработчик приложения решает, какие события необходимо записать.
безопасности Содержит такие события, как допустимые и недопустимые попытки входа, а также события, связанные с использованием ресурсов, такими как создание, открытие или удаление файлов или других объектов. Администратор может начать аудит для записи событий в журнале безопасности.
system Содержит события, зарегистрированные системными компонентами, например сбой драйвера или другого системного компонента во время запуска.
CustomLog Содержит события, зарегистрированные приложениями, создающими пользовательский журнал. Использование пользовательского журнала позволяет приложению управлять размером журнала или присоединять списки управления доступом для целей безопасности, не затрагивая другие приложения.

Служба ведения журнала событий использует сведения, хранящиеся в разделе реестра eventlog. Ключ журнала событий содержит несколько подразделов, называемых журналами. Каждый журнал содержит сведения о том, что служба ведения журнала событий использует для поиска ресурсов, когда приложение записывает и считывает данные из журнала событий.

Структура ключа журнала событий выглядит следующим образом:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Обратите внимание, что контроллеры домена записывают события в службе каталогов и службе репликации файлов журналы и события записи DNS-серверов в DNS-сервере.

Каждый журнал может содержать следующие значения реестра.

Значение реестра Описание
CustomSD Ограничивает доступ к журналу событий. Это значение имеет тип REG_SZ. Используемый формат — это язык определения дескриптора безопасности (SDDL). Создайте ACL, предоставляющий одно или несколько следующих прав:
Очистить (0x0004)
Чтение (0x0001)
Запись (0x0002)
Чтобы быть синтаксически допустимым SDDL, значение CustomSD должно указывать владельца и владельца группы (например, O:BAG:SY), но владелец и владелец группы не используются. Если CustomSD имеет неправильное значение, событие запускается в журнале событий системы при запуске службы журналов событий, а журнал событий получает дескриптор безопасности по умолчанию, идентичный исходному значению CustomSD для журнала приложений. SACLs не поддерживаются.
Дополнительные сведения см. в безопасности журнала событий.
DisplayNameFile Это значение не используется.
DisplayNameID Это значение не используется.
файла Полный путь к файлу, в котором хранится каждый журнал событий. Это позволяет средству просмотра событий и другим приложениям находить файлы журнала. Это значение имеет тип REG_SZ или REG_EXPAND_SZ. Это значение является необязательным. Если значение не указано, по умолчанию используется %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe или с помощью функции EvtSetChannelConfigProperty с evtChannelLoggingConfigLoggingConfigLogFilePath, переданной в параметр PropertyId.
Если задан определенный файл, убедитесь, что служба журнала событий имеет полные разрешения на файл.
Это значение должно быть допустимым именем файла, расположенного в локальном каталоге (а не на удаленном компьютере, а не на устройстве DOS, а не на диске, а не в канале). Если параметр файла не задан, событие запускается в журнале событий системы при запуске службы журналов событий.
Не используйте переменные среды в пути к файлу, которые нельзя развернуть в контексте службы журнала событий.
MaxSize Максимальный размер файла журнала в байтах. Это значение имеет тип REG_DWORD. Значение должно иметь значение 64K для журнала системы, приложения или безопасности. Значение по умолчанию — 1 МБ.
PrimaryModule Это значение не используется.
хранения Это значение имеет тип REG_DWORD. Значение по умолчанию — 0. Если это значение равно 0, записи событий всегда перезаписываются. Если это значение 0xFFFFFFFF или любое ненулевое значение, записи никогда не перезаписываются. Когда размер файла журнала достигает максимального размера, необходимо очистить журнал вручную; в противном случае новые события удаляются. Прежде чем изменить его размер, необходимо очистить журнал.
источников Это значение не используется.
AutoBackupLogFiles Это значение имеет тип REG_DWORD и используется службой журналов событий для определения того, следует ли автоматически сохранять журнал событий. Значение по умолчанию — 0, которое отключает автоматическое резервное копирование. Служба будет создавать резервные копии файла журнала только в том случае, если значение хранения -1 (0xFFFFFFFF). Другие значения будут игнорироваться.Windows Server 2003: для работы autoBackupLogFiles можно задать значение -1 (0xFFFFFFFF) или 1 (0x00000001). Другие значения будут игнорироваться.
RestrictGuestAccess Это значение не используется.
изоляции Определяет разрешения доступа по умолчанию для журнала. Это значение имеет тип REG_SZ. Можно указать одно из следующих значений:
  • приложения
  • system
  • настраиваемых
Изоляция по умолчанию — application. Разрешения по умолчанию для приложения (показаны с помощью SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Разрешения по умолчанию для системных (показаны с помощью SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Разрешения по умолчанию для изоляции пользовательских совпадают с разрешениями приложения.

Каждый журнал также содержит источники событий. Дополнительные сведения см. в источниках событий.