Udostępnij za pośrednictwem

Źródła zdarzeń

  • Artykuł

Każdy dziennik w kluczu dziennika zdarzeń zawiera podklucze nazywane źródłami zdarzeń . Źródłem zdarzeń jest nazwa oprogramowania, które rejestruje zdarzenie. Często jest to nazwa aplikacji lub nazwa podskładu aplikacji, jeśli aplikacja jest duża. Do rejestru można dodać maksymalnie 16 384 źródła zdarzeń. Dziennik zabezpieczeń służy tylko do używania systemu. Sterowniki urządzeń powinny dodawać swoje nazwy do dziennika systemu. Aplikacje i usługi powinny dodać swoje nazwy do dziennika Application lub utworzyć dziennik niestandardowy.

Struktura źródeł zdarzeń jest następująca:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

Nie można użyć nazwy źródłowej, która została już użyta jako nazwa dziennika. Ponadto nazwy źródłowe nie mogą być hierarchiczne; oznacza to, że nie mogą zawierać znaku ukośnika odwrotnego ("\").

Każde źródło zdarzeń zawiera informacje (takie jak plik komunikatu ) specyficzne dla oprogramowania, które będzie rejestrować zdarzenia, jak pokazano w poniższej tabeli.

Wartość rejestru Opis
CategoryCount Liczba obsługiwanych kategorii zdarzeń. Ta wartość jest typu REG_DWORD.
CategoryMessageFile Ścieżka do pliku komunikatu kategorii. Plik komunikatów kategorii zawiera ciągi zależne od języka, które opisują kategorie. Ta wartość może być typu REG_SZ lub REG_EXPAND_SZ.
EventMessageFile Ścieżka do co najmniej jednego pliku komunikatu zdarzenia; użyj średnika, aby rozdzielić wiele plików. Plik komunikatu zdarzenia zawiera ciągi zależne od języka, które opisują zdarzenia. Ta wartość może być typu REG_SZ lub REG_EXPAND_SZ.
ParameterMessageFile Ścieżka do pliku komunikatu parametru. Plik komunikatów parametrów zawiera ciągi niezależne od języka, które mają zostać wstawione do ciągów opisu zdarzenia. Ta wartość może być typu REG_SZ lub REG_EXPAND_SZ.
TypesSupported Maska bitów obsługiwanych typów. Ta wartość jest typu REG_DWORD. Może to być co najmniej jedna z następujących wartości:
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

 

Gdy aplikacja używa funkcji RegisterEventSource lub OpenEventLog, aby uzyskać dojście do dziennika zdarzeń, usługa rejestrowania zdarzeń wyszukuje określone źródło zdarzeń w rejestrze. Na przykład dziennik aplikacji może zawierać źródła zdarzeń dla programów Microsoft SQL Server i Microsoft Excel. Jeśli aplikacja używa RegisterEventSource lub openEventLog z nazwą źródłową aplikacji, SQL lub Excel, usługa rejestrowania zdarzeń zwraca do dziennika application.

Aplikacja może używać dziennika aplikacji bez dodawania nowego źródła zdarzeń do rejestru. Jeśli aplikacja wywołuje RegisterEventSource i przekazuje nazwę źródłową, której nie można odnaleźć w rejestrze, usługa rejestrowania zdarzeń domyślnie używa dziennika Application. Jednak ponieważ nie ma żadnych plików komunikatów, Podgląd zdarzeń nie może mapować żadnych identyfikatorów zdarzeń lub kategorii zdarzeń na ciąg opisu i wyświetli błąd. Z tego powodu należy dodać unikatowe źródło zdarzeń do rejestru aplikacji i określić plik komunikatu.