Источники событий
Каждый журнал в ключе журнала событий содержит вложенные ключи, называемые источниками событий . Источник событий — это имя программного обеспечения, которое регистрирует событие. Это часто имя приложения или имя подкомпонента приложения, если приложение большое. В реестр можно добавить не более 16 384 источников событий. Журнал безопасности предназначен только для системного использования. Драйверы устройств должны добавлять имена в журнал System. Приложения и службы должны добавлять имена в журнал приложения или создавать пользовательский журнал.
Структура источников событий выглядит следующим образом:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
Нельзя использовать исходное имя, которое уже использовалось в качестве имени журнала. Кроме того, имена источников не могут быть иерархическими; То есть они не могут содержать символ обратной косой черты ("\").
Каждый источник событий содержит сведения (например, файл сообщения ), относящееся к программному обеспечению, которое будет регистрировать события, как показано в следующей таблице.
Значение реестра | Описание |
---|---|
CategoryCount | Количество поддерживаемых категорий событий. Это значение имеет тип REG_DWORD. |
CategoryMessageFile | Путь к файлу сообщения категории. Файл сообщения категории содержит строки, зависящие от языка, описывающие категории. Это значение может быть типом REG_SZ или REG_EXPAND_SZ. |
EventMessageFile | Путь к одному или нескольким файлам сообщений о событии; используйте точку с запятой для разделителя нескольких файлов. Файл сообщения о событии содержит строки, зависящие от языка, описывающие события. Это значение может быть типом REG_SZ или REG_EXPAND_SZ. |
ParameterMessageFile | Путь к файлу сообщения параметра. Файл сообщения параметра содержит строки, не зависящие от языка, которые необходимо вставить в строки описания события. Это значение может быть типом REG_SZ или REG_EXPAND_SZ. |
Типы, поддерживаемые | Битовая маска поддерживаемых типов. Это значение имеет тип REG_DWORD. Это может быть одно или несколько следующих значений:
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
Если приложение использует функцию RegisterEventSource или OpenEventLog для получения дескриптора в журнале событий, служба ведения журнала событий ищет указанный источник событий в реестре. Например, журнал приложения может содержать источники событий для Microsoft SQL Server и Microsoft Excel. Если приложение использует RegisterEventSource или OpenEventLog с именем источника Application, SQL или Excel, служба ведения журнала событий возвращает дескриптор журналу приложения.
Приложение может использовать журнал приложения без добавления нового источника событий в реестр. Если приложение вызывает RegisterEventSource и передает имя источника, которое не удается найти в реестре, служба ведения журнала событий использует журнал Application по умолчанию. Однако, так как нет файлов сообщений, средство просмотра событий не может сопоставить идентификаторы событий или категории событий со строкой описания и отобразит ошибку. По этой причине необходимо добавить уникальный источник событий в реестр приложения и указать файл сообщения.