Megosztás a következőn keresztül:

Eseménynapló-kulcs

  • Cikk

Az eseménynapló a következő szabványos naplókat és egyéni naplókat tartalmazza:

Napló Leírás
alkalmazás Alkalmazások által naplózott eseményeket tartalmaz. Egy adatbázis-alkalmazás például fájlhibát rögzíthet. Az alkalmazás fejlesztője dönti el, hogy mely eseményeket kell rögzítenie.
biztonsági Olyan eseményeket tartalmaz, mint az érvényes és érvénytelen bejelentkezési kísérletek, valamint az erőforrás-használattal kapcsolatos események, például fájlok vagy egyéb objektumok létrehozása, megnyitása vagy törlése. A rendszergazda megkezdheti a naplózást a biztonsági napló eseményeinek rögzítéséhez.
rendszer Rendszerösszetevők által naplózott eseményeket tartalmaz, például egy illesztőprogram vagy más rendszerösszetevő indítás során betöltendő hibáját.
CustomLog Egyéni naplót létrehozó alkalmazások által naplózott eseményeket tartalmaz. Az egyéni naplók használatával az alkalmazás szabályozhatja a napló méretét, vagy biztonsági okokból csatolhat ACL-eket anélkül, hogy más alkalmazásokat érintenének.

Az eseménynaplózási szolgáltatás az Eventlog beállításkulcsában tárolt adatokat használja. Az Eventlog kulcs számos alkulcsot tartalmaz, úgynevezett naplókat. Minden napló olyan információkat tartalmaz, amelyeket az eseménynaplózási szolgáltatás az erőforrások megkeresésére használ, amikor egy alkalmazás ír és olvas az eseménynaplóból.

Az Eventlog kulcs szerkezete a következő:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Vegye figyelembe, hogy a tartományvezérlők a Címtárszolgáltatás és fájlreplikációs szolgáltatásban naplókban és DNS-kiszolgálókon rögzítik az eseményeket a DNS-kiszolgáló.

Minden napló a következő beállításjegyzék-értékeket tartalmazhatja.

Beállításjegyzék-érték Leírás
CustomSD Korlátozza az eseménynaplóhoz való hozzáférést. Ez az érték REG_SZ típusú. A használt formátum Security Descriptor Definition Language (SDDL). Hozzon létre egy ACL-t, amely az alábbi jogosultságok közül egyet vagy többet biztosít:
Törlés (0x0004)
Olvasás (0x0001)
Írás (0x0002)
Ahhoz, hogy szintaktikailag érvényes SDDL legyen, a CustomSD értéknek meg kell adnia egy tulajdonost és egy csoporttulajdonost (például O:BAG:SY), de a tulajdonost és a csoporttulajdonost nem használja a rendszer. Ha a CustomSD helytelen értékre van beállítva, a rendszer az eseménynapló indításakor aktivál egy eseményt a rendszer eseménynaplójában, és az eseménynapló egy alapértelmezett biztonsági leírót kap, amely megegyezik az alkalmazásnapló eredeti CustomSD-értékével. A SACL-ek nem támogatottak.
További információ: Eseménynaplózás biztonsági.
Windows Server 2003: SAC-ok támogatottak.
Windows XP/2000: Ez az érték nem támogatott.
DisplayNameFile Ez az érték nincs használatban. Windows Server 2003 és Windows XP/2000: Az eseménynapló honosított nevét tároló fájl neve. A fájlban tárolt név a napló neveként jelenik meg az Eseménynaplóban. Ha ez a bejegyzés nem jelenik meg egy eseménynapló beállításjegyzékében, az Eseménynapló a beállításjegyzék alkulcsának nevét jeleníti meg naplónévként. Ez az érték REG_EXPAND_SZ típusú. Az alapértelmezett érték a %SystemRoot%\system32\els.dll.
DisplayNameID Ez az érték nincs használatban. Windows Server 2003 és Windows XP/2000: naplónév-sztring üzenetazonosító száma. Ez a szám azt az üzenetet jelzi, amelyben a honosított megjelenítendő név megjelenik. Az üzenet a DisplayNameFile érték által megadott fájlban van tárolva. Ez az érték REG_DWORD típusú.
fájl Az egyes eseménynaplók tárolására szolgáló fájl teljes elérési útja. Ez lehetővé teszi, hogy az Eseménynapló és más alkalmazások megtalálják a naplófájlokat. Ez az érték REG_SZ vagy REG_EXPAND_SZ típusú. Ez az érték nem kötelező. Ha az érték nincs megadva, alapértelmezés szerint %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe, vagy a EvtSetChannelConfigProperty függvény és az EvtChannelLoggingConfigLogFilePath függvény használatával adja át a PropertyId paraméternek.
Ha egy adott fájl be van állítva, győződjön meg arról, hogy az eseménynapló-szolgáltatás teljes engedélyekkel rendelkezik a fájlhoz.
Ennek az értéknek érvényes fájlnévnek kell lennie egy helyi könyvtárban található fájlnak (nem távoli számítógépnek, nem DOS-eszköznek, nem hajlékonylemeznek és nem csőnek). Ha a fájlbeállítás helytelen, a rendszer elindít egy eseményt a rendszer eseménynaplójában, amikor az eseménynapló szolgáltatás elindul.
Ne használjon olyan környezeti változókat a fájl elérési útján, amelyek nem bonthatók ki az eseménynapló-szolgáltatás kontextusában.
Windows Server 2003 és Windows XP/2000: Ez az érték alapértelmezés szerint %SystemRoot%\system32\config\, majd egy fájlnév, amely az eseménynapló beállításkulcsának neve alapján történik. Ha a Fájl beállítás érvénytelen értékre van állítva, a napló vagy nem inicializálódik megfelelően, vagy az összes kérés csendesen az alapértelmezett naplóra (Alkalmazás) kerül.
MaxSize A naplófájl maximális mérete bájtban. Ez az érték REG_DWORD típusú. Az értéket egy rendszer-, alkalmazás- vagy biztonsági napló 64K többszörösére kell állítani. Az alapértelmezett érték 1 MB.Windows Server 2003 és Windows XP/2000: Az érték csak 0xFFFFFFFF, az alapértelmezett érték pedig 512K.
PrimaryModule Ez az érték nincs használatban.Windows Server 2003 és Windows XP/2000: Ez az érték annak az alkulcsnak a neve, amely az eseményforrás alkulcsában szereplő bejegyzések alapértelmezett értékeit tartalmazza. Ez az érték REG_SZ típusú.
megőrzési Ez az érték REG_DWORD típusú. Az alapértelmezett érték 0. Ha ez az érték 0, az események rekordjai mindig felülíródnak. Ha ez az érték 0xFFFFFFFF vagy bármilyen nemzero érték, a rekordok soha nem lesznek felülírva. Amikor a naplófájl eléri a maximális méretét, manuálisan kell törölnie a naplót; ellenkező esetben a rendszer elveti az új eseményeket. A méret módosítása előtt törölnie kell a naplót is.Windows Server 2003 és Windows XP/2000: Ez az az időintervallum másodpercben, amely az események rekordjait védi a felülírástól. Ha egy esemény kora eléri vagy meghaladja ezt az értéket, felülírható.
források Ez az érték nincs használatban. Windows Server 2003 és Windows XP/2000: A naplóba eseményeket író alkalmazások, szolgáltatások vagy alkalmazáscsoportok neve. Ez az érték csak olvasható és nem módosítható. Az eseménynapló-szolgáltatás a napló alatti alkulcsban felsorolt programok alapján tartja karban a listát. Ez az érték REG_MULTI_SZ típusú.
AutoBackupLogFiles Ez az érték REG_DWORD típusú, és az eseménynapló szolgáltatás használja annak meghatározására, hogy az eseménynaplót automatikusan menteni kell-e. Az alapértelmezett érték 0, amely letiltja az automatikus biztonsági mentést. A szolgáltatás csak akkor készít biztonsági másolatot a naplófájlról, ha a megőrzési érték -1 (0xFFFFFFFF). A program figyelmen kívül hagyja az egyéb értékeket.Windows Server 2003: megőrzés beállítása -1 (0xFFFFFFFF) vagy 1 (0x00000001) értékre az AutoBackupLogFiles működéséhez. A program figyelmen kívül hagyja az egyéb értékeket.
RestrictGuestAccess Ez az érték nincs használatban. Windows XP/2000: Ez az érték REG_DWORD típusú, az alapértelmezett érték pedig 1. Ha az érték 1, akkor korlátozza a vendég- és névtelen fiók hozzáférését az eseménynaplóhoz, és ha ez az érték 0, akkor engedélyezi a vendégfiók számára az eseménynaplóhoz való hozzáférést.
elkülönítési Meghatározza a napló alapértelmezett hozzáférési engedélyeit. Ez az érték REG_SZ típusú. Az alábbi értékek egyikét adhatja meg:
  • alkalmazás
  • rendszer
  • egyéni
Az alapértelmezett elkülönítés az alkalmazás . A alkalmazás alapértelmezett engedélyei (az SDDL használatával jelennek meg): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
A rendszer alapértelmezett engedélyei (az SDDL használatával jelennek meg): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Az egyéni elkülönítésének alapértelmezett engedélyei megegyeznek az alkalmazásokkal.
Windows Server 2003 és Windows XP/2000: Ez az érték nem érhető el.

Minden napló eseményforrásokat is tartalmaz. További információ: Eseményforrások.