Sdílet prostřednictvím

Klíč protokolu událostí

  • Článek

Protokol událostí obsahuje následující standardní protokoly a také vlastní protokoly:

Kláda Popis
aplikace Obsahuje události protokolované aplikacemi. Například databázová aplikace může zaznamenat chybu souboru. Vývojář aplikace rozhodne, které události se mají zaznamenávat.
zabezpečení Obsahuje události, jako jsou platné a neplatné pokusy o přihlášení, a také události související s prostředkem, jako je vytváření, otevírání nebo odstraňování souborů nebo jiných objektů. Správce může zahájit auditování, aby zaznamenával události v protokolu zabezpečení.
System Obsahuje události protokolované systémovými komponentami, jako je selhání ovladače nebo jiné systémové součásti, které se mají načíst během spouštění.
CustomLog Obsahuje události protokolované aplikacemi, které vytvářejí vlastní protokol. Použití vlastního protokolu umožňuje aplikaci řídit velikost protokolu nebo připojit seznamy ACL pro účely zabezpečení, aniž by to mělo vliv na jiné aplikace.

Služba protokolování událostí používá informace uložené v protokolu událostí protokolu událostí klíč registru. Klíč protokolu událostí obsahuje několik podklíčů označovaných jako protokoly . Každý protokol obsahuje informace, které služba protokolování událostí používá k vyhledání prostředků, když aplikace zapisuje a čte z protokolu událostí.

Struktura klíče Eventlog je následující:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Všimněte si, že řadiče domény zaznamenávají události v adresářové službě a službě replikace souborů protokoly a servery DNS zaznamenávají události na serveru DNS.

Každý protokol může obsahovat následující hodnoty registru.

Hodnota registru Popis
customSD Omezuje přístup k protokolu událostí. Tato hodnota je typu REG_SZ. Použitý formát je Jazyk definice popisovače zabezpečení (SDDL). Vytvořte seznam ACL, který uděluje jedno nebo více následujících práv:
Vymazat (0x0004)
Čtení (0x0001)
Zápis (0x0002)
Aby byla syntakticky platná SDDL, musí hodnota CustomSD zadat vlastníka a vlastníka skupiny (například O:BAG:SY), ale vlastník a vlastník skupiny se nepoužívají. Pokud je customSD nastavena na nesprávnou hodnotu, událost se aktivuje v protokolu událostí systému při spuštění služby protokolu událostí a protokol událostí získá výchozí popisovač zabezpečení, který je identický s původní hodnotou CustomSD pro protokol aplikace. Seznamy SAC Nejsou podporovány.
Další informace naleznete v tématu zabezpečení protokolování událostí.
Windows Server 2003: podporují se seznamy SACLs.
Windows XP/2000: Tato hodnota není podporována.
DisplayNameFile Tato hodnota se nepoužívá. Windows Server 2003 a Windows XP/2000: Název souboru, který ukládá lokalizovaný název protokolu událostí. Název uložený v tomto souboru se zobrazí jako název protokolu v Prohlížeči událostí. Pokud se tato položka v registru pro protokol událostí nezobrazí, prohlížeč událostí zobrazí název podklíče registru jako název protokolu. Tato hodnota je typu REG_EXPAND_SZ. Výchozí hodnota je %SystemRoot%\system32\els.dll.
DisplayNameID Tato hodnota se nepoužívá. Windows Server 2003 a Windows XP/2000: Identifikační číslo zprávy řetězce názvu protokolu. Toto číslo označuje zprávu, ve které se zobrazí lokalizovaný zobrazovaný název. Zpráva je uložena v souboru určeném hodnotou DisplayNameFile. Tato hodnota je typu REG_DWORD.
souboru Plně kvalifikovaná cesta k souboru, kde je uložen každý protokol událostí. To umožňuje prohlížeči událostí a dalším aplikacím najít soubory protokolu. Tato hodnota je typu REG_SZ nebo REG_EXPAND_SZ. Tato hodnota je nepovinná. Pokud tato hodnota není zadaná, ve výchozím nastavení se %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe nebo pomocí funkce EvtSetChannelConfigProperty s parametrem EvtChannelLoggingConfigLogFilePath předaným do parametru PropertyId.
Pokud je nastavený konkrétní soubor, ujistěte se, že má služba protokolu událostí úplná oprávnění k souboru.
Tato hodnota musí být platný název souboru, který je umístěn v místním adresáři (ne vzdálený počítač, ne zařízení DOS, ne disketa, a ne kanál). Pokud je nastavení souboru nesprávné, událost se aktivuje v protokolu událostí systému při spuštění služby protokolu událostí.
Nepoužívejte proměnné prostředí v cestě k souboru, které nelze rozbalit v kontextu služby protokolu událostí.
Systému Windows Server 2003 a Windows XP/2000: Tato hodnota je výchozí hodnota %SystemRoot%\system32\config\ následovaný názvem souboru, který je založený na názvu klíče registru protokolu událostí. Pokud je nastavení Soubor nastaveno na neplatnou hodnotu, protokol se buď neinicializuje správně, nebo všechny požadavky bezobslužně přejdou do výchozího protokolu (aplikace).
MaxSize Maximální velikost souboru protokolu v bajtech Tato hodnota je typu REG_DWORD. Hodnota musí být nastavena na násobek 64 K pro systém, aplikaci nebo protokol zabezpečení. Výchozí hodnota je 1 MB.Windows Server 2003 a Windows XP/2000: Hodnota je omezená na 0xFFFFFFFF a výchozí hodnota je 512 KB.
primaryModule Tato hodnota se nepoužívá.Windows Server 2003 a Windows XP/2000: Tato hodnota je název podklíče, který obsahuje výchozí hodnoty pro položky v podklíči zdroje události. Tato hodnota je typu REG_SZ.
uchovávání Tato hodnota je typu REG_DWORD. Výchozí hodnota je 0. Pokud je tato hodnota 0, záznamy událostí se vždy přepíšou. Pokud je tato hodnota 0xFFFFFFFF nebo jakákoli nenulová hodnota, záznamy se nikdy nepřepíšou. Když soubor protokolu dosáhne maximální velikosti, musíte protokol vymazat ručně; v opačném případě se nové události zahodí. Než budete moct změnit jeho velikost, musíte také vymazat protokol.Windows Server 2003 a Windows XP/2000: Tato hodnota je časový interval v sekundách, kdy jsou záznamy událostí chráněny před přepsáním. Když věk události dosáhne nebo překročí tuto hodnotu, může být přepsán.
zdroje Tato hodnota se nepoužívá. Windows Server 2003 a Windows XP/2000: názvy aplikací, služeb nebo skupin aplikací, které zapisuje události do tohoto protokolu. Tato hodnota by měla být jen pro čtení a neměla by být změněna. Služba protokolu událostí udržuje seznam na základě každého programu uvedeného v podklíči v protokolu. Tato hodnota je typu REG_MULTI_SZ.
AutoBackupLogFiles Tato hodnota je typu REG_DWORD a používá ji služba protokolu událostí k určení, zda má být protokol událostí automaticky uložen. Výchozí hodnota je 0, což zakáže automatické zálohování. Služba zálohuje soubor protokolu pouze v případě, že je hodnota uchovávání -1 (0xFFFFFFFF). Ostatní hodnoty budou ignorovány. Windows Server 2003: Pro funkci AutoBackupLogFiles je možné nastavit -1 (0xFFFFFFFF) nebo 1 (0x00000001). Ostatní hodnoty budou ignorovány.
RestrictGuestAccess Tato hodnota se nepoužívá. Windows XP/2000: Tato hodnota je typu REG_DWORD a výchozí hodnota je 1. Pokud je hodnota nastavená na hodnotu 1, omezí přístup hosta a anonymního účtu k protokolu událostí a pokud je tato hodnota 0, umožní přístup účtu hosta k protokolu událostí.
izolace Definuje výchozí přístupová oprávnění pro protokol. Tato hodnota je typu REG_SZ. Můžete zadat jednu z následujících hodnot:
  • aplikace
  • System
  • vlastní
Výchozí izolace je application. Výchozí oprávnění pro application jsou (zobrazená pomocí SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Výchozí oprávnění pro systému jsou (zobrazená pomocí SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Výchozí oprávnění pro vlastní izolaci je stejná jako aplikace.
Windows Server 2003 a Windows XP/2000: Tato hodnota není k dispozici.

Každý protokol obsahuje také zdroje událostí. Další informace naleznete v tématu zdroje událostí.