Sources d’événements
Chaque journal dans la clé Eventlog contient des sous-clés appelées sources d’événements. La source de l’événement est le nom du logiciel qui journalise l’événement. Il s’agit souvent du nom de l’application ou du nom d’un sous-composant de l’application si l’application est volumineuse. Vous pouvez ajouter un maximum de 16 384 sources d’événements au Registre. Le journal security est destiné uniquement à une utilisation système. Les pilotes de périphérique doivent ajouter leurs noms au journal système. Les applications et services doivent ajouter leurs noms au journal application ou créer un journal personnalisé.
La structure des sources d’événements est la suivante :
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
Vous ne pouvez pas utiliser un nom source qui a déjà été utilisé comme nom de journal. En outre, les noms sources ne peuvent pas être hiérarchiques ; autrement dit, ils ne peuvent pas contenir le caractère de barre oblique inverse (« \ »).
Chaque source d’événement contient des informations (telles qu’un fichier de messages ) spécifiques au logiciel qui journalisera les événements, comme indiqué dans le tableau suivant.
| Valeur du Registre | Description |
|---|---|
| CategoryCount | Nombre de catégories d’événements prises en charge. Cette valeur est de type REG_DWORD. |
| CategoryMessageFile | Chemin d’accès au fichier de message de catégorie. Un fichier de message de catégorie contient des chaînes dépendantes de la langue qui décrivent les catégories. Cette valeur peut être de type REG_SZ ou REG_EXPAND_SZ. |
| eventMessageFile | Chemin d’accès à un ou plusieurs fichiers de message d’événement ; utilisez un point-virgule pour délimiter plusieurs fichiers. Un fichier de message d’événement contient des chaînes dépendantes de la langue qui décrivent les événements. Cette valeur peut être de type REG_SZ ou REG_EXPAND_SZ. |
| ParameterMessageFile | Chemin d’accès au fichier de message de paramètre. Un fichier de message de paramètre contient des chaînes indépendantes de la langue à insérer dans les chaînes de description d’événement. Cette valeur peut être de type REG_SZ ou REG_EXPAND_SZ. |
| TypesSupported | Masque de bits des types pris en charge. Cette valeur est de type REG_DWORD. Il peut s’agir d’une ou plusieurs des valeurs suivantes :
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
Lorsqu’une application utilise la fonction RegisterEventSource ou OpenEventLog pour obtenir un handle dans un journal des événements, le service de journalisation des événements recherche la source d’événement spécifiée dans le Registre. Par exemple, le journal application peut contenir des sources d’événements pour Microsoft SQL Server et Microsoft Excel. Si une application utilise RegisterEventSource ou OpenEventLog avec un nom source d’Application, SQL ou Excel, le service de journalisation des événements retourne un handle dans le journal application.
Une application peut utiliser le journal application sans ajouter de nouvelle source d’événement au Registre. Si l’application appelle RegisterEventSource et transmet un nom source introuvable dans le Registre, le service de journalisation des événements utilise le journal application par défaut. Toutefois, étant donné qu’il n’existe aucun fichier de message, l’Observateur d’événements ne peut pas mapper des identificateurs d’événement ou des catégories d’événements à une chaîne de description et affiche une erreur. Pour cette raison, vous devez ajouter une source d’événement unique au Registre pour votre application et spécifier un fichier de message.