Eventlog-sleutel
Het gebeurtenislogboek bevat de volgende standaardlogboeken en aangepaste logboeken:
| Log | Beschrijving |
|---|---|
| toepassings- | Bevat gebeurtenissen die zijn vastgelegd door toepassingen. Een databasetoepassing kan bijvoorbeeld een bestandsfout vastleggen. De toepassingsontwikkelaar bepaalt welke gebeurtenissen moeten worden vastgelegd. |
| Security | Bevat gebeurtenissen zoals geldige en ongeldige aanmeldingspogingen, evenals gebeurtenissen met betrekking tot resourcegebruik, zoals het maken, openen of verwijderen van bestanden of andere objecten. Een beheerder kan de controle starten om gebeurtenissen in het beveiligingslogboek vast te leggen. |
| System | Bevat gebeurtenissen die zijn vastgelegd door systeemonderdelen, zoals de fout van een stuurprogramma of een ander systeemonderdeel dat tijdens het opstarten wordt geladen. |
| CustomLog- | Bevat gebeurtenissen die zijn vastgelegd door toepassingen die een aangepast logboek maken. Met behulp van een aangepast logboek kan een toepassing de grootte van het logboek beheren of ACL's koppelen voor beveiligingsdoeleinden zonder dat dit van invloed is op andere toepassingen. |
De gebeurtenislogboekservice gebruikt de gegevens die zijn opgeslagen in de Eventlog registersleutel. De Eventlog-sleutel bevat verschillende subsleutels, logboekengenoemd. Elk logboek bevat informatie die de gebeurtenislogboekservice gebruikt om resources te vinden wanneer een toepassing naar het gebeurtenislogboek schrijft en leest.
De structuur van de Eventlog-sleutel is als volgt:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
Eventlog
Application
Security
System
CustomLog
Houd er rekening mee dat domeincontrollers gebeurtenissen vastleggen in de Directory-service en File Replication-service logboeken en DNS-servers gebeurtenissen vastleggen in de DNS-server.
Elk logboek kan de volgende registerwaarden bevatten.
| Registerwaarde | Beschrijving |
|---|---|
| CustomSD- | Hiermee wordt de toegang tot het gebeurtenislogboek beperkt. Deze waarde is van het type REG_SZ. De gebruikte indeling is Security Descriptor Definition Language (SDDL). Maak een ACL die een of meer van de volgende rechten verleent:
Lezen (0x0001) Schrijven (0x0002) Zie Event Logging Securityvoor meer informatie. Windows Server 2003: SACLs worden ondersteund. Windows XP/2000: Deze waarde wordt niet ondersteund. |
| DisplayNameFile- | Deze waarde wordt niet gebruikt.
Windows Server 2003 en Windows XP/2000: naam van het bestand waarin de gelokaliseerde naam van het gebeurtenislogboek wordt opgeslagen. De naam die in dit bestand is opgeslagen, wordt weergegeven als de logboeknaam in Logboeken. Als deze vermelding niet wordt weergegeven in het register voor een gebeurtenislogboek, geeft Logboeken de naam van de registersubsleutel weer als de logboeknaam. Deze waarde is van het type REG_EXPAND_SZ. De standaardwaarde is %SystemRoot%\system32\els.dll. |
| DisplayNameID- | Deze waarde wordt niet gebruikt.
Windows Server 2003 en Windows XP/2000: berichtidentificatienummer van de logboeknaamtekenreeks. Dit getal geeft het bericht aan waarin de gelokaliseerde weergavenaam wordt weergegeven. Het bericht wordt opgeslagen in het bestand dat is opgegeven door de DisplayNameFile waarde. Deze waarde is van het type REG_DWORD. |
| bestand | Volledig gekwalificeerd pad naar het bestand waarin elk gebeurtenislogboek wordt opgeslagen. Hierdoor kunnen Logboeken en andere toepassingen de logboekbestanden vinden. Deze waarde is van het type REG_SZ of REG_EXPAND_SZ. Deze waarde is optioneel. Als de waarde niet is opgegeven, wordt deze standaard ingesteld op %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe of met behulp van de functie EvtSetChannelConfigProperty met EvtChannelLoggingConfigLogFilePath die is doorgegeven aan de parameter PropertyId. Als een specifiek bestand is ingesteld, moet u ervoor zorgen dat de gebeurtenislogboekservice volledige machtigingen voor het bestand heeft. Deze waarde moet een geldige bestandsnaam zijn voor een bestand dat zich in een lokale map bevindt (niet een externe computer, geen DOS-apparaat, geen diskette en geen pipe). Als de bestandsinstelling onjuist is, wordt er een gebeurtenis geactiveerd in het gebeurtenislogboek van het systeem wanneer de gebeurtenislogboekservice wordt gestart. Gebruik geen omgevingsvariabelen, in het pad naar het bestand, die niet kunnen worden uitgebreid in de context van de gebeurtenislogboekservice. Windows Server 2003 en Windows XP/2000: Deze waarde wordt standaard ingesteld op %SystemRoot%\system32\config\ gevolgd door een bestandsnaam die is gebaseerd op de registersleutelnaam van het gebeurtenislogboek. Als de instelling Bestand is ingesteld op een ongeldige waarde, wordt het logboek niet correct geïnitialiseerd of worden alle aanvragen op de achtergrond naar het standaardlogboek (toepassing) verzonden. |
| MaxSize | Maximale grootte, in bytes, van het logboekbestand. Deze waarde is van het type REG_DWORD. De waarde moet worden ingesteld op een veelvoud van 64K voor een systeem-, toepassings- of beveiligingslogboek. De standaardwaarde is 1 MB.Windows Server 2003 en Windows XP/2000: De waarde is beperkt tot 0xFFFFFFFF en de standaardwaarde is 512K. |
| PrimaryModule- | Deze waarde wordt niet gebruikt.Windows Server 2003 en Windows XP/2000: Deze waarde is de naam van de subsleutel die de standaardwaarden bevat voor de vermeldingen in de subsleutel voor de gebeurtenisbron. Deze waarde is van het type REG_SZ. |
| retentie | Deze waarde is van het type REG_DWORD. De standaardwaarde is 0. Als deze waarde 0 is, worden de records van gebeurtenissen altijd overschreven. Als deze waarde 0xFFFFFFFF of een andere niet-nulwaarde is, worden records nooit overschreven. Wanneer het logboekbestand de maximale grootte bereikt, moet u het logboek handmatig wissen; anders worden nieuwe gebeurtenissen verwijderd. U moet het logboek ook wissen voordat u de grootte kunt wijzigen.Windows Server 2003 en Windows XP/2000: Deze waarde is het tijdsinterval, in seconden, dat records van gebeurtenissen worden beveiligd tegen overschrijven. Wanneer de leeftijd van een gebeurtenis deze waarde bereikt of overschrijdt, kan deze worden overschreven. |
| bronnen | Deze waarde wordt niet gebruikt.
Windows Server 2003 en Windows XP/2000: Namen van de toepassingen, services of groepen toepassingen die gebeurtenissen naar dit logboek schrijven. Deze waarde mag alleen worden gelezen en niet worden gewijzigd. De gebeurtenislogboekservice onderhoudt de lijst op basis van elk programma dat wordt vermeld in een subsleutel onder het logboek. Deze waarde is van het type REG_MULTI_SZ. |
| AutoBackupLogFiles | Deze waarde is van het type REG_DWORD en wordt gebruikt door de gebeurtenislogboekservice om te bepalen of een gebeurtenislogboek automatisch moet worden opgeslagen. De standaardwaarde is 0, waardoor automatische back-up wordt uitgeschakeld. De service maakt alleen een back-up van het logboekbestand als de retentiewaarde is -1 (0xFFFFFFFF). Andere waarden worden genegeerd.Windows Server 2003: retentie kan worden ingesteld op -1 (0xFFFFFFFF) of 1 (0x00000001) zodat AutoBackupLogFiles werkt. Andere waarden worden genegeerd. |
| RestrictGuestAccess- | Deze waarde wordt niet gebruikt.
Windows XP/2000: Deze waarde is van het type REG_DWORD en de standaardwaarde is 1. Wanneer de waarde is ingesteld op 1, wordt de toegang van het gast- en anonieme account tot het gebeurtenislogboek beperkt en wanneer deze waarde 0 is, heeft het gastaccount toegang tot het gebeurtenislogboek. |
| isolatie | Hiermee definieert u de standaardtoegangsmachtigingen voor het logboek. Deze waarde is van het type REG_SZ. U kunt een van de volgende waarden opgeven:
Windows Server 2003 en Windows XP/2000: Deze waarde is niet beschikbaar. |
Elk logboek bevat ook gebeurtenisbronnen. Zie Gebeurtenisbronnenvoor meer informatie.