Eventlog-Schlüssel
Das Ereignisprotokoll enthält die folgenden Standardprotokolle sowie benutzerdefinierte Protokolle:
Log | Beschreibung |
---|---|
Application | Enthält von Anwendungen protokollierte Ereignisse. Beispielsweise kann eine Datenbankanwendung einen Dateifehler aufzeichnen. Der Anwendungsentwickler entscheidet, welche Ereignisse erfasst werden sollen. |
Sicherheits- | Enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse im Zusammenhang mit der Ressourcenverwendung, z. B. Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Ein Administrator kann mit der Überwachung beginnen, um Ereignisse im Sicherheitsprotokoll aufzuzeichnen. |
System- | Enthält ereignisse, die von Systemkomponenten protokolliert werden, z. B. das Fehler eines Treibers oder einer anderen Systemkomponente, die beim Start geladen werden. |
CustomLog- | Enthält von Anwendungen protokollierte Ereignisse, die ein benutzerdefiniertes Protokoll erstellen. Die Verwendung eines benutzerdefinierten Protokolls ermöglicht es einer Anwendung, die Größe des Protokolls zu steuern oder ACLs für Sicherheitszwecke anzufügen, ohne dass sich dies auf andere Anwendungen auswirkt. |
Der Ereignisprotokollierungsdienst verwendet die im Eventlog Registrierungsschlüssel gespeicherten Informationen. Der Eventlog--Schlüssel enthält mehrere Unterschlüssel, die Protokollegenannt werden. Jedes Protokoll enthält Informationen, die der Ereignisprotokollierungsdienst verwendet, um Ressourcen zu suchen, wenn eine Anwendung in das Ereignisprotokoll schreibt und liest.
Die Struktur des Eventlog- Schlüssels lautet wie folgt:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
Eventlog
Application
Security
System
CustomLog
Beachten Sie, dass Domänencontroller Ereignisse im Verzeichnisdienst und Dateireplikationsdienst aufzeichnen, Protokolle und DNS-Server-Eintragsereignisse im DNS-Server.
Jedes Protokoll kann die folgenden Registrierungswerte enthalten.
Registrierungswert | Beschreibung |
---|---|
customSD- | Beschränkt den Zugriff auf das Ereignisprotokoll. Dieser Wert ist vom Typ REG_SZ. Das verwendete Format ist Security Descriptor Definition Language (SDDL). Erstellen Sie eine ACL, die mindestens eine der folgenden Rechte gewährt:
Lesen (0x0001) Schreiben (0x0002) Weitere Informationen finden Sie unter Ereignisprotokollierungssicherheit. Windows Server 2003: SACLs werden unterstützt. Windows XP/2000: Dieser Wert wird nicht unterstützt. |
DisplayNameFile- | Dieser Wert wird nicht verwendet.
Windows Server 2003 und Windows XP/2000: Name der Datei, die den lokalisierten Namen des Ereignisprotokolls speichert. Der in dieser Datei gespeicherte Name wird als Protokollname in der Ereignisanzeige angezeigt. Wenn dieser Eintrag nicht in der Registrierung für ein Ereignisprotokoll angezeigt wird, zeigt die Ereignisanzeige den Namen des Registrierungsunterschlüssels als Protokollnamen an. Dieser Wert ist vom Typ REG_EXPAND_SZ. Der Standardwert ist %SystemRoot%\system32\els.dll. |
DisplayNameID- | Dieser Wert wird nicht verwendet.
Windows Server 2003 und Windows XP/2000: Nachrichtenidentifikationsnummer der Protokollnamenzeichenfolge. Diese Zahl gibt die Meldung an, in der der lokalisierte Anzeigename angezeigt wird. Die Nachricht wird in der datei gespeichert, die durch den wert DisplayNameFile angegeben wird. Dieser Wert ist vom Typ REG_DWORD. |
Datei- | Vollqualifizierter Pfad zu der Datei, in der jedes Ereignisprotokoll gespeichert ist. Dadurch kann die Ereignisanzeige und andere Anwendungen die Protokolldateien finden. Dieser Wert ist vom Typ REG_SZ oder REG_EXPAND_SZ. Dieser Wert ist optional. Wenn der Wert nicht angegeben ist, wird standardmäßig %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe oder mithilfe der EvtSetChannelConfigProperty--Funktion mit evtChannelLoggingConfigLogFilePath an den parameter PropertyId übergeben. Wenn eine bestimmte Datei festgelegt ist, stellen Sie sicher, dass der Ereignisprotokolldienst über vollständige Berechtigungen für die Datei verfügt. Dieser Wert muss ein gültiger Dateiname für eine Datei sein, die sich in einem lokalen Verzeichnis befindet (kein Remotecomputer, kein DOS-Gerät, kein Floppy und keine Pipe). Wenn die Dateieinstellung falsch ist, wird ein Ereignis im Systemereignisprotokoll ausgelöst, wenn der Ereignisprotokolldienst gestartet wird. Verwenden Sie keine Umgebungsvariablen im Pfad zur Datei, die nicht im Kontext des Ereignisprotokolldiensts erweitert werden können. Windows Server 2003 und Windows XP/2000: Dieser Wert wird standardmäßig auf %SystemRoot%\system32\config\ gefolgt von einem Dateinamen festgelegt, der auf dem Namen des Registrierungsschlüssels für das Ereignisprotokoll basiert. Wenn die Einstellung "Datei" auf einen ungültigen Wert festgelegt ist, wird das Protokoll entweder nicht ordnungsgemäß initialisiert, oder alle Anforderungen wechseln im Hintergrund zum Standardprotokoll (Anwendung). |
MaxSize- | Maximale Größe in Byte der Protokolldatei. Dieser Wert ist vom Typ REG_DWORD. Der Wert muss auf ein Vielfaches von 64 KB für ein System-, Anwendungs- oder Sicherheitsprotokoll festgelegt werden. Der Standardwert ist 1 MB.Windows Server 2003 und Windows XP/2000: Der Wert ist auf 0xFFFFFFFF beschränkt, und der Standardwert ist 512 KB. |
PrimaryModule- | Dieser Wert wird nicht verwendet.Windows Server 2003 und Windows XP/2000: Dieser Wert ist der Name des Unterschlüssels, der die Standardwerte für die Einträge im Unterschlüssel für die Ereignisquelle enthält. Dieser Wert ist vom Typ REG_SZ. |
Aufbewahrungs- | Dieser Wert ist vom Typ REG_DWORD. Der Standardwert ist 0. Wenn dieser Wert 0 ist, werden die Datensätze von Ereignissen immer überschrieben. Wenn dieser Wert 0xFFFFFFFF oder ein nichtzero-Wert ist, werden Datensätze nie überschrieben. Wenn die Protokolldatei die maximale Größe erreicht, müssen Sie das Protokoll manuell löschen. andernfalls werden neue Ereignisse verworfen. Sie müssen das Protokoll auch löschen, bevor Sie die Größe ändern können.Windows Server 2003 und Windows XP/2000: Dieser Wert ist das Zeitintervall in Sekunden, in dem Datensätze von Ereignissen vor überschrieben werden. Wenn das Alter eines Ereignisses diesen Wert erreicht oder überschreitet, kann er überschrieben werden. |
Quellen | Dieser Wert wird nicht verwendet.
Windows Server 2003 und Windows XP/2000: Namen der Anwendungen, Dienste oder Anwendungsgruppen, die Ereignisse in dieses Protokoll schreiben. Dieser Wert sollte nur gelesen und nicht geändert werden. Der Ereignisprotokolldienst verwaltet die Liste basierend auf jedem Programm, das in einem Unterschlüssel unter dem Protokoll aufgeführt ist. Dieser Wert ist vom Typ REG_MULTI_SZ. |
AutoBackupLogFiles- | Dieser Wert ist vom Typ REG_DWORD und wird vom Ereignisprotokolldienst verwendet, um zu bestimmen, ob ein Ereignisprotokoll automatisch gespeichert werden soll. Der Standardwert ist 0, wodurch die automatische Sicherung deaktiviert wird. Der Dienst sichert die Protokolldatei nur, wenn der Aufbewahrungswert -1 ist (0xFFFFFFFF). Andere Werte werden ignoriert.Windows Server 2003: Aufbewahrung kann auf -1 (0xFFFFFFFF) oder 1 (0x00000001) festgelegt werden, damit AutoBackupLogFiles funktioniert. Andere Werte werden ignoriert. |
RestrictGuestAccess- | Dieser Wert wird nicht verwendet.
Windows XP/2000: Dieser Wert ist vom Typ REG_DWORD, und der Standardwert ist 1. Wenn der Wert auf 1 festgelegt ist, schränkt er den Gast- und anonymen Kontozugriff auf das Ereignisprotokoll ein, und wenn dieser Wert 0 ist, ermöglicht es Gastkontozugriff auf das Ereignisprotokoll. |
Isolation | Definiert die Standardzugriffsberechtigungen für das Protokoll. Dieser Wert ist vom Typ REG_SZ. Sie können einen der folgenden Werte angeben:
Die Standardberechtigungen für System- sind (mit SDDL dargestellt): Die Standardberechtigungen für Benutzerdefinierte Isolation sind identisch mit "Anwendung".Windows Server 2003 und Windows XP/2000: Dieser Wert ist nicht verfügbar. |
Jedes Protokoll enthält auch Ereignisquellen. Weitere Informationen finden Sie unter Ereignisquellen.