Fontes de eventos
Cada log na chave Eventlog contém subchaves chamadas fontes de eventos. A origem do evento é o nome do software que registra o evento. Muitas vezes, é o nome do aplicativo ou o nome de um subcomponente do aplicativo se o aplicativo for grande. Você pode adicionar um máximo de 16.384 fontes de eventos ao Registro. O log do de Segurança é apenas para uso do sistema. Os drivers de dispositivo devem adicionar seus nomes ao log de do sistema. Os aplicativos e serviços devem adicionar seus nomes ao log Application ou criar um log personalizado.
A estrutura das fontes de eventos é a seguinte:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
Não é possível usar um nome de origem que já tenha sido usado como um nome de log. Além disso, os nomes das fontes não podem ser hierárquicos; ou seja, eles não podem conter o caractere de barra invertida ("\").
Cada fonte de evento contém informações (como um arquivo de mensagem ) específicas do software que registrará os eventos, conforme mostrado na tabela a seguir.
| Valor do Registro | Descrição |
|---|---|
| CategoryCount | Número de categorias de eventos suportadas. Este valor é do tipo REG_DWORD. |
| CategoryMessageFile | Caminho para o arquivo de mensagem de categoria. Um arquivo de mensagem de categoria contém cadeias de caracteres dependentes do idioma que descrevem as categorias. Esse valor pode ser do tipo REG_SZ ou REG_EXPAND_SZ. |
| EventMessageFile | Caminho para um ou mais arquivos de mensagem de evento; Use um ponto-e-vírgula para delimitar vários arquivos. Um arquivo de mensagem de evento contém cadeias de caracteres dependentes do idioma que descrevem os eventos. Esse valor pode ser do tipo REG_SZ ou REG_EXPAND_SZ. |
| ParameterMessageFile | Caminho para o arquivo de mensagem de parâmetro. Um arquivo de mensagem de parâmetro contém cadeias de caracteres independentes do idioma que devem ser inseridas nas cadeias de caracteres de descrição do evento. Esse valor pode ser do tipo REG_SZ ou REG_EXPAND_SZ. |
| TypesSupported | Bitmask de tipos suportados. Este valor é do tipo REG_DWORD. Pode ser um ou mais dos seguintes valores:
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
Quando um aplicativo usa o RegisterEventSource ou função OpenEventLog para obter um identificador para um log de eventos, o serviço de log de eventos procura a fonte de eventos especificada no registro. Por exemplo, o log Application pode conter fontes de eventos para o Microsoft SQL Server e o Microsoft Excel. Se um aplicativo usar RegisterEventSource ou OpenEventLog com um nome de origem de Application, SQL ou Excel, o serviço de log de eventos retornará um identificador para o log de do aplicativo.
Um aplicativo pode usar o log Application sem adicionar uma nova fonte de eventos ao Registro. Se o aplicativo chamar RegisterEventSource e passar um nome de origem que não pode ser encontrado no registro, o serviço de log de eventos usará o log Application por padrão. No entanto, como não há arquivos de mensagem, o Visualizador de Eventos não pode mapear identificadores de eventos ou categorias de eventos para uma cadeia de caracteres de descrição e exibirá um erro. Por esse motivo, você deve adicionar uma fonte de evento exclusiva ao registro para seu aplicativo e especificar um arquivo de mensagem.