Поделиться через


Источники событий

Каждый журнал в ключе журнала событий содержит вложенные ключи, называемые источниками событий . Источник событий — это имя программного обеспечения, которое регистрирует событие. Это часто имя приложения или имя подкомпонента приложения, если приложение большое. В реестр можно добавить не более 16 384 источников событий. Журнал безопасности предназначен только для системного использования. Драйверы устройств должны добавлять имена в журнал System. Приложения и службы должны добавлять имена в журнал приложения или создавать пользовательский журнал.

Структура источников событий выглядит следующим образом:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

Нельзя использовать исходное имя, которое уже использовалось в качестве имени журнала. Кроме того, имена источников не могут быть иерархическими; То есть они не могут содержать символ обратной косой черты ("\").

Каждый источник событий содержит сведения (например, файл сообщения ), относящееся к программному обеспечению, которое будет регистрировать события, как показано в следующей таблице.

Значение реестра Описание
CategoryCount Количество поддерживаемых категорий событий. Это значение имеет тип REG_DWORD.
CategoryMessageFile Путь к файлу сообщения категории. Файл сообщения категории содержит строки, зависящие от языка, описывающие категории. Это значение может быть типом REG_SZ или REG_EXPAND_SZ.
EventMessageFile Путь к одному или нескольким файлам сообщений о событии; используйте точку с запятой для разделителя нескольких файлов. Файл сообщения о событии содержит строки, зависящие от языка, описывающие события. Это значение может быть типом REG_SZ или REG_EXPAND_SZ.
ParameterMessageFile Путь к файлу сообщения параметра. Файл сообщения параметра содержит строки, не зависящие от языка, которые необходимо вставить в строки описания события. Это значение может быть типом REG_SZ или REG_EXPAND_SZ.
Типы, поддерживаемые Битовая маска поддерживаемых типов. Это значение имеет тип REG_DWORD. Это может быть одно или несколько следующих значений:
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

 

Если приложение использует функцию RegisterEventSource или OpenEventLog для получения дескриптора в журнале событий, служба ведения журнала событий ищет указанный источник событий в реестре. Например, журнал приложения может содержать источники событий для Microsoft SQL Server и Microsoft Excel. Если приложение использует RegisterEventSource или OpenEventLog с именем источника Application, SQL или Excel, служба ведения журнала событий возвращает дескриптор журналу приложения.

Приложение может использовать журнал приложения без добавления нового источника событий в реестр. Если приложение вызывает RegisterEventSource и передает имя источника, которое не удается найти в реестре, служба ведения журнала событий использует журнал Application по умолчанию. Однако, так как нет файлов сообщений, средство просмотра событий не может сопоставить идентификаторы событий или категории событий со строкой описания и отобразит ошибку. По этой причине необходимо добавить уникальный источник событий в реестр приложения и указать файл сообщения.