Orígenes de eventos
Cada registro de la clave eventlog de contiene subclaves denominadas orígenes de eventos . El origen del evento es el nombre del software que registra el evento. A menudo es el nombre de la aplicación o el nombre de un subcomponente de la aplicación si la aplicación es grande. Puede agregar un máximo de 16 384 orígenes de eventos al registro. El registro de de seguridad de es solo para uso del sistema. Los controladores de dispositivo deben agregar sus nombres al registro de del sistema. Las aplicaciones y los servicios deben agregar sus nombres al registro de Application o crear un registro personalizado.
La estructura de los orígenes de eventos es la siguiente:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
No puede usar un nombre de origen que ya se haya usado como nombre de registro. Además, los nombres de origen no pueden ser jerárquicos; es decir, no pueden contener el carácter de barra diagonal inversa ("\").
Cada origen de eventos contiene información (como un archivo de mensaje ) específico del software que registrará los eventos, como se muestra en la tabla siguiente.
| Valor del Registro | Descripción |
|---|---|
| CategoryCount | Número de categorías de eventos admitidas. Este valor es de tipo REG_DWORD. |
| CategoryMessageFile de | Ruta de acceso al archivo de mensaje de categoría. Un archivo de mensaje de categoría contiene cadenas dependientes del idioma que describen las categorías. Este valor puede ser de tipo REG_SZ o REG_EXPAND_SZ. |
| EventMessageFile | Ruta de acceso a uno o varios archivos de mensajes de evento; use un punto y coma para delimitar varios archivos. Un archivo de mensaje de evento contiene cadenas dependientes del idioma que describen los eventos. Este valor puede ser de tipo REG_SZ o REG_EXPAND_SZ. |
| ParameterMessageFile de | Ruta de acceso al archivo de mensaje de parámetros. Un archivo de mensaje de parámetro contiene cadenas independientes del lenguaje que se van a insertar en las cadenas de descripción del evento. Este valor puede ser de tipo REG_SZ o REG_EXPAND_SZ. |
| TypesSupported | Máscara de bits de tipos admitidos. Este valor es de tipo REG_DWORD. Puede ser uno o varios de los siguientes valores:
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
Cuando una aplicación usa el RegisterEventSource o función OpenEventLog para obtener un identificador de un registro de eventos, el servicio de registro de eventos busca el origen de eventos especificado en el registro. Por ejemplo, el registro de Application podría contener orígenes de eventos para Microsoft SQL Server y Microsoft Excel. Si una aplicación usa RegisterEventSource o openEventLog con un nombre de origen de Application, SQL o Excel, el servicio de registro de eventos devuelve un identificador al registro de Application.
Una aplicación puede usar el registro de Application sin agregar un nuevo origen de eventos al registro. Si la aplicación llama a registerEventSource y pasa un nombre de origen que no se encuentra en el registro, el servicio de registro de eventos usa el registro de Application de forma predeterminada. Sin embargo, dado que no hay ningún archivo de mensaje, el Visor de eventos no puede asignar ningún identificador de evento ni categorías de eventos a una cadena de descripción y mostrará un error. Por este motivo, debe agregar un origen de eventos único al registro de la aplicación y especificar un archivo de mensaje.