Поделиться через

Ключ журнала событий

  • Статья

Журнал событий содержит следующие стандартные журналы, а также пользовательские журналы:

Журнал Описание
приложения Содержит события, зарегистрированные приложениями. Например, приложение базы данных может записать ошибку файла. Разработчик приложения решает, какие события необходимо записать.
безопасности Содержит такие события, как допустимые и недопустимые попытки входа, а также события, связанные с использованием ресурсов, такими как создание, открытие или удаление файлов или других объектов. Администратор может начать аудит для записи событий в журнале безопасности.
system Содержит события, зарегистрированные системными компонентами, например сбой драйвера или другого системного компонента во время запуска.
CustomLog Содержит события, зарегистрированные приложениями, создающими пользовательский журнал. Использование пользовательского журнала позволяет приложению управлять размером журнала или присоединять списки управления доступом для целей безопасности, не затрагивая другие приложения.

Служба ведения журнала событий использует сведения, хранящиеся в разделе реестра eventlog. Ключ журнала событий содержит несколько подразделов, называемых журналами. Каждый журнал содержит сведения о том, что служба ведения журнала событий использует для поиска ресурсов, когда приложение записывает и считывает данные из журнала событий.

Структура ключа журнала событий выглядит следующим образом:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Обратите внимание, что контроллеры домена записывают события в службе каталогов и службе репликации файлов журналы и события записи DNS-серверов в DNS-сервере.

Каждый журнал может содержать следующие значения реестра.

Значение реестра Описание
CustomSD Ограничивает доступ к журналу событий. Это значение имеет тип REG_SZ. Используемый формат — это язык определения дескриптора безопасности (SDDL). Создайте ACL, предоставляющий одно или несколько следующих прав:
Очистить (0x0004)
Чтение (0x0001)
Запись (0x0002)
Чтобы быть синтаксически допустимым SDDL, значение CustomSD должно указывать владельца и владельца группы (например, O:BAG:SY), но владелец и владелец группы не используются. Если CustomSD имеет неправильное значение, событие запускается в журнале событий системы при запуске службы журналов событий, а журнал событий получает дескриптор безопасности по умолчанию, идентичный исходному значению CustomSD для журнала приложений. SACLs не поддерживаются.
Дополнительные сведения см. в безопасности журнала событий.
Windows Server 2003: поддерживаются SACLs.
Windows XP/2000: это значение не поддерживается.
DisplayNameFile Это значение не используется. Windows Server 2003 и Windows XP/2000: имя файла, в который хранится локализованное имя журнала событий. Имя, хранящееся в этом файле, отображается как имя журнала в средстве просмотра событий. Если эта запись не отображается в реестре для журнала событий, средство просмотра событий отображает имя подраздела реестра в качестве имени журнала. Это значение имеет тип REG_EXPAND_SZ. Значение по умолчанию — %SystemRoot%\system32\els.dll.
DisplayNameID Это значение не используется. Windows Server 2003 и Windows XP/2000: идентификационный номер сообщения строки имени журнала. Это число указывает сообщение, в котором отображается локализованное отображаемое имя. Сообщение хранится в файле, указанном значением DisplayNameFile. Это значение имеет тип REG_DWORD.
файла Полный путь к файлу, в котором хранится каждый журнал событий. Это позволяет средству просмотра событий и другим приложениям находить файлы журнала. Это значение имеет тип REG_SZ или REG_EXPAND_SZ. Это значение является необязательным. Если значение не указано, по умолчанию используется %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe или с помощью функции EvtSetChannelConfigProperty с evtChannelLoggingConfigLoggingConfigLogFilePath, переданной в параметр PropertyId.
Если задан определенный файл, убедитесь, что служба журнала событий имеет полные разрешения на файл.
Это значение должно быть допустимым именем файла, расположенного в локальном каталоге (а не на удаленном компьютере, а не на устройстве DOS, а не на диске, а не в канале). Если параметр файла не задан, событие запускается в журнале событий системы при запуске службы журналов событий.
Не используйте переменные среды в пути к файлу, которые нельзя развернуть в контексте службы журнала событий.
Windows Server 2003 и Windows XP/2000: Это значение по умолчанию используется для %SystemRoot%\system32\config\, а затем имя файла, основанное на имени раздела реестра событий. Если для параметра файла задано недопустимое значение, журнал либо не будет инициализирован должным образом, либо все запросы автоматически переходят в журнал по умолчанию (приложение).
MaxSize Максимальный размер файла журнала в байтах. Это значение имеет тип REG_DWORD. Значение должно иметь значение 64K для журнала системы, приложения или безопасности. Значение по умолчанию — 1 МБ.Windows Server 2003 и Windows XP/2000: Значение ограничено 0xFFFFFFFF, а значение по умолчанию — 512K.
PrimaryModule Это значение не используется.Windows Server 2003 и Windows XP/2000: это имя подраздела, содержащего значения по умолчанию для записей в подразделе источника событий. Это значение имеет тип REG_SZ.
хранения Это значение имеет тип REG_DWORD. Значение по умолчанию — 0. Если это значение равно 0, записи событий всегда перезаписываются. Если это значение 0xFFFFFFFF или любое ненулевое значение, записи никогда не перезаписываются. Когда размер файла журнала достигает максимального размера, необходимо очистить журнал вручную; в противном случае новые события удаляются. Прежде чем изменить его размер, необходимо очистить журнал.Windows Server 2003 и Windows XP/2000: это интервал времени в секундах, что записи событий защищены от перезаписи. Когда возраст события достигает или превышает это значение, его можно перезаписать.
источников Это значение не используется. Windows Server 2003 и Windows XP/2000: имена приложений, служб или групп приложений, которые записывают события в этот журнал. Это значение должно быть прочитано только и не изменено. Служба журнала событий поддерживает список на основе каждой программы, указанной в подразделе в журнале. Это значение имеет тип REG_MULTI_SZ.
AutoBackupLogFiles Это значение имеет тип REG_DWORD и используется службой журналов событий для определения того, следует ли автоматически сохранять журнал событий. Значение по умолчанию — 0, которое отключает автоматическое резервное копирование. Служба будет создавать резервные копии файла журнала только в том случае, если значение хранения -1 (0xFFFFFFFF). Другие значения будут игнорироваться.Windows Server 2003: для работы autoBackupLogFiles можно задать значение -1 (0xFFFFFFFF) или 1 (0x00000001). Другие значения будут игнорироваться.
RestrictGuestAccess Это значение не используется. Windows XP/2000: Это значение имеет тип REG_DWORD, а значение по умолчанию — 1. Если для значения задано значение 1, он ограничивает доступ гостевой и анонимной учетной записи к журналу событий, а если это значение равно 0, он разрешает гостевой учетной записи доступ к журналу событий.
изоляции Определяет разрешения доступа по умолчанию для журнала. Это значение имеет тип REG_SZ. Можно указать одно из следующих значений:
  • приложения
  • system
  • настраиваемых
Изоляция по умолчанию — application. Разрешения по умолчанию для приложения (показаны с помощью SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Разрешения по умолчанию для системных (показаны с помощью SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Разрешения по умолчанию для изоляции пользовательских совпадают с разрешениями приложения.
Windows Server 2003 и Windows XP/2000: это значение недоступно.

Каждый журнал также содержит источники событий. Дополнительные сведения см. в источниках событий.