Partager via

Clé Eventlog

  • Article

Le journal des événements contient les journaux standard suivants, ainsi que les journaux personnalisés :

Rapport Description
application Contient les événements enregistrés par les applications. Par exemple, une application de base de données peut enregistrer une erreur de fichier. Le développeur d’applications décide des événements à enregistrer.
sécurité Contient des événements tels que des tentatives d’ouverture de session valides et non valides, ainsi que des événements liés à l’utilisation des ressources, tels que la création, l’ouverture ou la suppression de fichiers ou d’autres objets. Un administrateur peut démarrer l’audit pour enregistrer les événements dans le journal de sécurité.
système Contient les événements enregistrés par les composants système, tels que l’échec d’un pilote ou d’un autre composant système à charger pendant le démarrage.
CustomLog Contient les événements enregistrés par les applications qui créent un journal personnalisé. L’utilisation d’un journal personnalisé permet à une application de contrôler la taille du journal ou d’attacher des ACL à des fins de sécurité sans affecter d’autres applications.

Le service de journalisation des événements utilise les informations stockées dans la clé de Registre Eventlog. La clé eventlog contient plusieurs sous-clés, appelées journaux d’activité. Chaque journal contient des informations que le service de journalisation des événements utilise pour localiser les ressources lorsqu’une application écrit et lit dans le journal des événements.

La structure de la clé Eventlog est la suivante :

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Notez que les contrôleurs de domaine enregistrent des événements dans le service d’annuaire et service de réplication de fichiers les journaux et les serveurs DNS enregistrent des événements dans les du serveur DNS.

Chaque journal peut contenir les valeurs de Registre suivantes.

Valeur du Registre Description
CustomSD Limite l’accès au journal des événements. Cette valeur est de type REG_SZ. Le format utilisé est langage de définition de descripteur de sécurité (SDDL). Construisez une liste de contrôle d’accès qui accorde un ou plusieurs des droits suivants :
Effacer (0x0004)
Lecture (0x0001)
Écriture (0x0002)
Pour être un SDDL valide de manière syntactique, la valeur CustomSD doit spécifier un propriétaire et un propriétaire de groupe (par exemple, O :BAG :SY), mais le propriétaire du propriétaire et du groupe ne sont pas utilisés. Si CustomSD est défini sur une valeur incorrecte, un événement est déclenché dans le journal des événements système au démarrage du service du journal des événements, et le journal des événements obtient un descripteur de sécurité par défaut identique à la valeur CustomSD d’origine pour le journal des applications. Les listes SACL ne sont pas prises en charge.
Pour plus d’informations, consultez sécurité de journalisation des événements.
Windows Server 2003 : sacLs sont pris en charge.
Windows XP/2000 : Cette valeur n’est pas prise en charge.
DisplayNameFile Cette valeur n’est pas utilisée. Windows Server 2003 et Windows XP/2000 : Nom du fichier qui stocke le nom localisé du journal des événements. Le nom stocké dans ce fichier apparaît comme nom de journal dans l’Observateur d’événements. Si cette entrée n’apparaît pas dans le Registre d’un journal des événements, l’Observateur d’événements affiche le nom de la sous-clé de Registre comme nom du journal. Cette valeur est de type REG_EXPAND_SZ. La valeur par défaut est %SystemRoot%\system32\els.dll.
displayNameID Cette valeur n’est pas utilisée. Windows Server 2003 et Windows XP/2000 : numéro d’identification de message de la chaîne de nom du journal. Ce nombre indique le message dans lequel le nom d’affichage localisé s’affiche. Le message est stocké dans le fichier spécifié par la valeur DisplayNameFile. Cette valeur est de type REG_DWORD.
fichier Chemin d’accès complet au fichier dans lequel chaque journal des événements est stocké. Cela permet à l’Observateur d’événements et à d’autres applications de rechercher les fichiers journaux. Cette valeur est de type REG_SZ ou REG_EXPAND_SZ. Cette valeur est facultative. Si la valeur n’est pas spécifiée, elle est par défaut %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe ou à l’aide de la fonction EvtSetChannelConfigProperty avec EvtChannelLoggingConfigLogFilePath passé dans le paramètre PropertyId.
Si un fichier spécifique est défini, vérifiez que le service du journal des événements dispose d’autorisations complètes sur le fichier.
Cette valeur doit être un nom de fichier valide pour un fichier situé dans un répertoire local (pas un ordinateur distant, pas un appareil DOS, pas une floppie, et non un canal). Si le paramètre de fichier est incorrect, un événement est déclenché dans le journal des événements système au démarrage du service du journal des événements.
N’utilisez pas de variables d’environnement, dans le chemin d’accès au fichier, qui ne peuvent pas être développées dans le contexte du service du journal des événements.
Windows Server 2003 et Windows XP/2000 : Cette valeur est par défaut %SystemRoot%\system32\config\ suivie d’un nom de fichier basé sur le nom de clé de Registre du journal des événements. Si le paramètre Fichier est défini sur une valeur non valide, le journal ne sera pas initialisé correctement, ou toutes les requêtes sont envoyées en mode silencieux au journal par défaut (Application).
MaxSize Taille maximale, en octets, du fichier journal. Cette valeur est de type REG_DWORD. La valeur doit être définie sur un multiple de 64 000 pour un journal système, application ou sécurité. La valeur par défaut est 1 Mo.Windows Server 2003 et Windows XP/2000 : La valeur est limitée à 0xFFFFFFFF, et la valeur par défaut est 512 Ko.
PrimaryModule Cette valeur n’est pas utilisée.Windows Server 2003 et Windows XP/2000 : Cette valeur est le nom de la sous-clé qui contient les valeurs par défaut des entrées de la sous-clé pour la source d’événement. Cette valeur est de type REG_SZ.
de rétention Cette valeur est de type REG_DWORD. La valeur par défaut est 0. Si cette valeur est 0, les enregistrements d’événements sont toujours remplacés. Si cette valeur est 0xFFFFFFFF ou n’importe quelle valeur différente de zéro, les enregistrements ne sont jamais remplacés. Lorsque le fichier journal atteint sa taille maximale, vous devez effacer le journal manuellement ; sinon, les nouveaux événements sont ignorés. Vous devez également effacer le journal avant de pouvoir modifier sa taille.Windows Server 2003 et Windows XP/2000 : Cette valeur est l’intervalle de temps, en secondes, que les enregistrements d’événements sont protégés contre le remplacement. Lorsque l’âge d’un événement atteint ou dépasse cette valeur, il peut être remplacé.
sources Cette valeur n’est pas utilisée. Windows Server 2003 et Windows XP/2000 : noms des applications, services ou groupes d’applications qui écrivent des événements dans ce journal. Cette valeur ne doit être lue que et non modifiée. Le service de journal des événements gère la liste en fonction de chaque programme répertorié dans une sous-clé sous le journal. Cette valeur est de type REG_MULTI_SZ.
AutoBackupLogFiles Cette valeur est de type REG_DWORD et est utilisée par le service de journal des événements pour déterminer si un journal des événements doit être enregistré automatiquement. La valeur par défaut est 0, ce qui désactive la sauvegarde automatique. Le service sauvegarde le fichier journal uniquement si la valeur de rétention est -1 (0xFFFFFFFF). D’autres valeurs seront ignorées.Windows Server 2003 : rétention peut être définie sur -1 (0xFFFFFFFF) ou 1 (0x00000001) pour que les fichiers AutoBackupLogFiles fonctionnent. D’autres valeurs seront ignorées.
RestrictGuestAccess Cette valeur n’est pas utilisée. Windows XP/2000 : Cette valeur est de type REG_DWORD et la valeur par défaut est 1. Lorsque la valeur est définie sur 1, elle limite l’accès au compte invité et anonyme au journal des événements, et lorsque cette valeur est 0, elle autorise l’accès au compte invité au journal des événements.
isolation Définit les autorisations d’accès par défaut pour le journal. Cette valeur est de type REG_SZ. Vous pouvez spécifier l’une des valeurs suivantes :
  • application
  • système
  • personnalisée
L’isolation par défaut est application. Les autorisations par défaut pour application sont (affichées à l’aide de SDDL) : 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Les autorisations par défaut pour système sont (affichées à l’aide de SDDL) : 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Les autorisations par défaut pour isolation de personnalisée sont identiques à l’application.
Windows Server 2003 et Windows XP/2000 : Cette valeur n’est pas disponible.

Chaque journal contient également des sources d’événements. Pour plus d’informations, consultez sources d’événements.