Bagikan melalui

Kunci Eventlog

  • Artikel

Log peristiwa berisi log standar berikut serta log kustom:

Batang Deskripsi
Aplikasi Berisi peristiwa yang dicatat oleh aplikasi. Misalnya, aplikasi database mungkin merekam kesalahan file. Pengembang aplikasi memutuskan peristiwa mana yang akan direkam.
Keamanan Berisi peristiwa seperti upaya masuk yang valid dan tidak valid, serta peristiwa yang terkait dengan penggunaan sumber daya seperti membuat, membuka, atau menghapus file atau objek lainnya. Administrator dapat mulai mengaudit untuk merekam peristiwa di log keamanan.
Sistem Berisi peristiwa yang dicatat oleh komponen sistem, seperti kegagalan driver atau komponen sistem lain untuk dimuat selama startup.
CustomLog Berisi peristiwa yang dicatat oleh aplikasi yang membuat log kustom. Menggunakan log kustom memungkinkan aplikasi mengontrol ukuran log atau melampirkan ACL untuk tujuan keamanan tanpa memengaruhi aplikasi lain.

Layanan pengelogan peristiwa menggunakan informasi yang disimpan di kunci registri Eventlog. Kunci Eventlog berisi beberapa subkunci, yang disebut log . Setiap log berisi informasi yang digunakan layanan pengelogan peristiwa untuk menemukan sumber daya saat aplikasi menulis dan membaca dari log peristiwa.

Struktur kunci Eventlog adalah sebagai berikut:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Perhatikan bahwa pengontrol domain merekam peristiwa di layanan Direktori dan log layanan Replikasi File dan server DNS merekam peristiwa di server DNS .

Setiap log dapat berisi nilai registri berikut.

Nilai registri Deskripsi
CustomSD Membatasi akses ke log peristiwa. Nilai ini berjenis REG_SZ. Format yang digunakan adalah Bahasa Definisi Deskriptor Keamanan (SDDL). Buat ACL yang memberikan satu atau beberapa hak berikut:
Bersihkan (0x0004)
Baca (0x0001)
Tulis (0x0002)
Untuk menjadi SDDL yang valid secara sintetis, nilai CustomSD harus menentukan pemilik dan pemilik grup (misalnya, O:BAG:SY), tetapi pemilik dan pemilik grup tidak digunakan. Jika CustomSD diatur ke nilai yang salah, peristiwa diaktifkan di log peristiwa Sistem saat layanan log peristiwa dimulai, dan log peristiwa mendapatkan deskriptor keamanan default yang identik dengan nilai CustomSD asli untuk log Aplikasi. SACL tidak didukung.
Untuk informasi selengkapnya, lihat Keamanan Pengelogan Peristiwa.
Windows Server 2003: SACL didukung.
Windows XP/2000: Nilai ini tidak didukung.
DisplayNameFile Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nama file yang menyimpan nama log peristiwa yang dilokalkan. Nama yang disimpan dalam file ini muncul sebagai nama log di Pemeriksa Peristiwa. Jika entri ini tidak muncul di registri untuk log peristiwa, Penampil Peristiwa menampilkan nama subkunci registri sebagai nama log. Nilai ini berjenis REG_EXPAND_SZ. Nilai defaultnya adalah %SystemRoot%\system32\els.dll.
DisplayNameID Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nomor identifikasi pesan dari string nama log. Angka ini menunjukkan pesan di mana nama tampilan yang dilokalkan muncul. Pesan disimpan dalam file yang ditentukan oleh nilai DisplayNameFile. Nilai ini berjenis REG_DWORD.
File Jalur yang sepenuhnya memenuhi syarat ke file tempat setiap log peristiwa disimpan. Ini memungkinkan Penampil Peristiwa dan aplikasi lain untuk menemukan file log. Nilai ini berjenis REG_SZ atau REG_EXPAND_SZ. Nilai ini bersifat opsional. Jika nilai tidak ditentukan, nilai defaultnya ke %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe atau dengan menggunakan fungsiEvtSetChannelConfigProperty dengan EvtChannelLoggingConfigLogFilePath yang diteruskan ke parameter PropertyId.
Jika file tertentu diatur, pastikan bahwa layanan log peristiwa memiliki izin penuh pada file.
Nilai ini harus berupa nama file yang valid untuk file yang terletak di direktori lokal (bukan komputer jarak jauh, bukan perangkat DOS, bukan floppy, dan bukan pipa). Jika pengaturan file salah, peristiwa diaktifkan di log peristiwa Sistem saat layanan log peristiwa dimulai.
Jangan gunakan variabel lingkungan, di jalur ke file, yang tidak dapat diperluas dalam konteks layanan log peristiwa.
Windows Server 2003 dan Windows XP/2000: Nilai ini default ke %SystemRoot%\system32\config\ diikuti dengan nama file yang didasarkan pada nama kunci registri log peristiwa. Jika pengaturan File diatur ke nilai yang tidak valid, log tidak akan diinisialisasi dengan benar, atau semua permintaan akan masuk secara diam-diam ke log default (Aplikasi).
MaxSize Ukuran maksimum, dalam byte, dari file log. Nilai ini berjenis REG_DWORD. Nilai harus diatur ke kelipatan 64K untuk log Sistem, Aplikasi, atau Keamanan. Nilai defaultnya adalah 1MB.Windows Server 2003 dan Windows XP/2000: Nilai terbatas pada 0xFFFFFFFF, dan nilai defaultnya adalah 512K.
PrimaryModule Nilai ini tidak digunakan.Windows Server 2003 dan Windows XP/2000: Nilai ini adalah nama subkunjen yang berisi nilai default untuk entri dalam subkuncar untuk sumber kejadian. Nilai ini berjenis REG_SZ.
Retensi Nilai ini berjenis REG_DWORD. Nilai defaultnya adalah 0. Jika nilai ini adalah 0, rekaman peristiwa selalu ditimpa. Jika nilai ini 0xFFFFFFFF atau nilai bukan nol, rekaman tidak pernah ditimpa. Ketika file log mencapai ukuran maksimumnya, Anda harus menghapus log secara manual; jika tidak, peristiwa baru dibuang. Anda juga harus menghapus log sebelum dapat mengubah ukurannya.Windows Server 2003 dan Windows XP/2000: Nilai ini adalah interval waktu, dalam detik, bahwa rekaman peristiwa dilindungi agar tidak ditimpa. Ketika usia peristiwa mencapai atau melebihi nilai ini, itu dapat ditimpa.
Sumber Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nama aplikasi, layanan, atau grup aplikasi yang menulis kejadian ke log ini. Nilai ini hanya boleh dibaca dan tidak diubah. Layanan log peristiwa mempertahankan daftar berdasarkan setiap program yang tercantum dalam subkunjuk di bawah log. Nilai ini berjenis REG_MULTI_SZ.
AutoBackupLogFiles Nilai ini berjenis REG_DWORD, dan digunakan oleh layanan log peristiwa untuk menentukan apakah log peristiwa harus disimpan secara otomatis. Nilai defaultnya adalah 0, yang menonaktifkan pencadangan otomatis. Layanan akan mencadangkan file log hanya jika nilai retensi -1 (0xFFFFFFFF). Nilai lain akan diabaikan.Windows Server 2003: Retensi dapat diatur ke -1 (0xFFFFFFFF) atau 1 (0x00000001) agar AutoBackupLogFiles berfungsi. Nilai lain akan diabaikan.
RestrictGuestAccess Nilai ini tidak digunakan. Windows XP/2000: Nilai ini berjenis REG_DWORD, dan nilai defaultnya adalah 1. Ketika nilai diatur ke 1, nilai membatasi akses akun Tamu dan Anonim ke log peristiwa, dan ketika nilai ini adalah 0, nilai ini memungkinkan akses akun Tamu ke log peristiwa.
Isolasi Menentukan izin akses default untuk log. Nilai ini berjenis REG_SZ. Anda dapat menentukan salah satu nilai berikut:
  • Aplikasi
  • Sistem
  • Kustom
Isolasi default adalah Aplikasi . Izin default untuk Aplikasi (ditampilkan menggunakan SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Izin default untuk Sistem (ditampilkan menggunakan SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Izin default untuk isolasi Kustom sama dengan Aplikasi.
Windows Server 2003 dan Windows XP/2000: Nilai ini tidak tersedia.

Setiap log juga berisi sumber peristiwa. Untuk informasi selengkapnya, lihat Sumber Peristiwa.