次の方法で共有

Eventlog キー

  • [アーティクル]

イベント ログには、次の標準ログとカスタム ログが含まれています。

丸太 形容
アプリケーション アプリケーションによってログに記録されるイベントが含まれます。 たとえば、データベース アプリケーションでファイル エラーが記録される場合があります。 アプリケーション開発者は、記録するイベントを決定します。
セキュリティ 有効なログオン試行や無効なログオン試行などのイベントのほか、ファイルやその他のオブジェクトの作成、開く、削除などのリソースの使用に関連するイベントが含まれます。 管理者は監査を開始して、セキュリティ ログにイベントを記録できます。
システム 起動時に読み込まれるドライバーやその他のシステム コンポーネントの障害など、システム コンポーネントによってログに記録されたイベントが含まれます。
CustomLog カスタム ログを作成するアプリケーションによってログに記録されるイベントが含まれます。 カスタム ログを使用すると、アプリケーションは、他のアプリケーションに影響を与えることなく、セキュリティ上の目的でログのサイズを制御したり、ACL をアタッチしたりできます。

イベント ログ サービスは、Eventlog レジストリ キーに格納されている情報を使用します。 Eventlog キーには、ログと呼ばれるいくつかのサブキーが含まれています。 各ログには、アプリケーションがイベント ログへの書き込みとイベント ログからの読み取りを行うときに、イベント ログ サービスがリソースの検索に使用する情報が含まれます。

Eventlog キーの構造は次のとおりです。

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

ドメイン コントローラーは、ディレクトリ サービス 内のイベントを記録し、ファイル レプリケーション サービス ログと DNS サーバーは、DNS サーバーのイベントを記録します。

各ログには、次のレジストリ値を含めることができます。

レジストリ値 形容
CustomSD イベント ログへのアクセスを制限します。 この値はREG_SZ型です。 使用される形式は、セキュリティ記述子定義言語 (SDDL) です。 次の権限の 1 つ以上を付与する ACL を構築します。
クリア (0x0004)
読み取り (0x0001)
書き込み (0x0002)
構文的に有効な SDDL にするには、CustomSD 値で所有者とグループ所有者 (O:BAG:SY など) を指定する必要がありますが、所有者とグループ所有者は使用されません。 CustomSD が間違った値に設定されている場合、イベント ログ サービスの開始時にシステム イベント ログでイベントが発生し、イベント ログには、アプリケーション ログの元の CustomSD 値と同じ既定のセキュリティ記述子が取得されます。 SACL はサポートされていません。
詳細については、「イベント ログ セキュリティ」を参照してください。
Windows Server 2003: SACL がサポートされています。
Windows XP/2000: この値はサポートされていません。
DisplayNameFile この値は使用されません。 Windows Server 2003 および Windows XP/2000: イベント ログのローカライズされた名前を格納するファイルの名前。 このファイルに格納されている名前は、イベント ビューアーのログ名として表示されます。 イベント ログのレジストリにこのエントリが表示されない場合、イベント ビューアーには、レジストリ サブキーの名前がログ名として表示されます。 この値はREG_EXPAND_SZ型です。 既定値は %SystemRoot%\system32\els.dllです。
DisplayNameID この値は使用されません。 Windows Server 2003 および Windows XP/2000: ログ名文字列のメッセージ識別番号。 この番号は、ローカライズされた表示名が表示されるメッセージを示します。 メッセージは、DisplayNameFile 値で指定されたファイルに格納されます。 この値はREG_DWORD型です。
ファイルの 各イベント ログが格納されているファイルへの完全修飾パス。 これにより、イベント ビューアーやその他のアプリケーションでログ ファイルを検索できます。 この値の型は、REG_SZまたはREG_EXPAND_SZです。 この値は省略可能です。 値が指定されていない場合、既定値は %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe、または EvtSetChannelConfigProperty 関数を使用して、PropertyId パラメーターに渡されます。
特定のファイルが設定されている場合は、イベント ログ サービスにファイルに対する完全なアクセス許可があることを確認します。
この値は、ローカル ディレクトリにあるファイルの有効なファイル名である必要があります (リモート コンピューターではなく、DOS デバイスではなく、フロッピーではなく、パイプではありません)。 ファイル設定が間違っている場合は、イベント ログ サービスの開始時にシステム イベント ログでイベントが発生します。
イベント ログ サービスのコンテキストでは展開できない環境変数をファイルへのパスで使用しないでください。
Windows Server 2003 および Windows XP/2000: この値の既定値は、\system32\config\ の後にイベント ログ レジストリ キー名に基づくファイル名を %SystemRoot%します。 [ファイル] 設定が無効な値に設定されている場合、ログは正しく初期化されないか、すべての要求が既定のログ (アプリケーション) に自動的に送信されます。
MaxSize ログ ファイルの最大サイズ (バイト単位)。 この値はREG_DWORD型です。 この値は、システム、アプリケーション、またはセキュリティ ログに対して 64K の倍数に設定する必要があります。 既定値は 1 MB です。Windows Server 2003 および Windows XP/2000: この値は0xFFFFFFFFに制限され、既定値は 512K です。
PrimaryModule この値は使用されません。Windows Server 2003 および Windows XP/2000: この値は、イベント ソースのサブキーのエントリの既定値を含むサブキーの名前です。 この値はREG_SZ型です。
保持 この値はREG_DWORD型です。 既定値は 0 です。 この値が 0 の場合、イベントのレコードは常に上書きされます。 この値が0xFFFFFFFFまたは 0 以外の値の場合、レコードは上書きされません。 ログ ファイルが最大サイズに達したら、ログを手動でクリアする必要があります。それ以外の場合、新しいイベントは破棄されます。 また、ログのサイズを変更する前に、ログをクリアする必要があります。Windows Server 2003 および Windows XP/2000: この値は、イベントのレコードが上書きされないように保護される時間間隔 (秒単位) です。 イベントの経過期間がこの値に達した場合、またはそれを超えると、上書きできます。
ソース この値は使用されません。 Windows Server 2003 および Windows XP/2000: このログにイベントを書き込むアプリケーション、サービス、またはアプリケーションのグループの名前。 この値は読み取り専用で、変更しないでください。 イベント ログ サービスは、ログの下のサブキーにリストされている各プログラムに基づいてリストを保持します。 この値は REG_MULTI_SZ 型です。
AutoBackupLogFiles この値はREG_DWORD型であり、イベント ログ を自動的に保存するかどうかを判断するためにイベント ログ サービスによって使用されます。 既定値は 0 で、自動バックアップを無効にします。 保持値が -1 (0xFFFFFFFF) の場合にのみ、サービスによってログ ファイルがバックアップされます。 その他の値は無視されます。Windows Server 2003: 保持期間は、AutoBackupLogFiles を機能させるために -1 (0xFFFFFFFF) または 1 (0x00000001) に設定できます。 その他の値は無視されます。
RestrictGuestAccess この値は使用されません。 Windows XP/2000: この値は REG_DWORD 型で、既定値は 1 です。 値を 1 に設定すると、イベント ログへのゲスト アカウントと匿名アカウントのアクセスが制限され、この値が 0 の場合は、ゲスト アカウントからイベント ログへのアクセスが許可されます。
分離 ログの既定のアクセス許可を定義します。 この値はREG_SZ型です。 次のいずれかの値を指定できます。
  • アプリケーション
  • システム
  • カスタム
既定の分離は、アプリケーション です。 アプリケーション の既定のアクセス許可は (SDDL を使用して表示されます) です。
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
システム の既定のアクセス許可は (SDDL を使用して表示されます) です。
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
カスタム 分離 既定のアクセス許可は、アプリケーションと同じです。
Windows Server 2003 および Windows XP/2000: この値は使用できません。

各ログには、イベント ソースも含まれています。 詳細については、「イベント ソースの」を参照してください。