Partilhar via

Chave do registo de eventos

  • Artigo

O log de eventos contém os seguintes logs padrão, bem como logs personalizados:

Registo Descrição
Application Contém eventos registrados por aplicativos. Por exemplo, um aplicativo de banco de dados pode registrar um erro de arquivo. O desenvolvedor do aplicativo decide quais eventos registrar.
Segurança Contém eventos como tentativas de logon válidas e inválidas, bem como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Um administrador pode iniciar a auditoria para registrar eventos no log de segurança.
Sistema Contém eventos registrados por componentes do sistema, como a falha de um driver ou outro componente do sistema para carregar durante a inicialização.
CustomLog Contém eventos registrados por aplicativos que criam um log personalizado. O uso de um log personalizado permite que um aplicativo controle o tamanho do log ou anexe ACLs para fins de segurança sem afetar outros aplicativos.

O serviço de registo de eventos utiliza as informações armazenadas no registo Eventlog chave de registo. A chave Eventlog contém várias subchaves, chamadas logs . Cada log contém informações que o serviço de log de eventos usa para localizar recursos quando um aplicativo grava e lê do log de eventos.

A estrutura da chave de do Eventlog é a seguinte:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Observe que os controladores de domínio registram eventos no do serviço de diretório e no serviço de replicação de arquivos logs e servidores DNS registram eventos no servidor DNS.

Cada log pode conter os seguintes valores do Registro.

Valor do Registro Descrição
CustomSD Restringe o acesso ao log de eventos. Este valor é do tipo REG_SZ. O formato usado é Security Descriptor Definition Language (SDDL). Construa uma ACL que conceda um ou mais dos seguintes direitos:
Limpar (0x0004)
Ler (0x0001)
Escrever (0x0002)
Para ser um SDDL sintaticamente válido, o valor CustomSD deve especificar um proprietário e um proprietário de grupo (por exemplo, O:BAG:SY), mas o proprietário e o proprietário do grupo não são usados. Se CustomSD estiver definido como um valor errado, um evento será disparado no log de eventos do sistema quando o serviço de log de eventos for iniciado e o log de eventos obterá um descritor de segurança padrão que é idêntico ao valor CustomSD original para o log do aplicativo. Não há suporte para SACLs.
Para obter mais informações, consulte de segurança do log de eventos .
Windows Server 2003: SACLs são suportadas.
Windows XP/2000: Este valor não é suportado.
DisplayNameFile Este valor não é utilizado. Windows Server 2003 e Windows XP/2000: Nome do arquivo que armazena o nome localizado do log de eventos. O nome armazenado neste ficheiro aparece como o nome do registo no Visualizador de Eventos. Se essa entrada não aparecer no Registro para um log de eventos, o Visualizador de Eventos exibirá o nome da subchave do Registro como o nome do log. Este valor é do tipo REG_EXPAND_SZ. O valor padrão é %SystemRoot%\system32\els.dll.
DisplayNameID Este valor não é utilizado. Windows Server 2003 e Windows XP/2000: Número de identificação da mensagem da cadeia de caracteres do nome do log. Esse número indica a mensagem na qual o nome de exibição localizado aparece. A mensagem é armazenada no arquivo especificado pelo valor de DisplayNameFile. Este valor é do tipo REG_DWORD.
File Caminho totalmente qualificado para o arquivo onde cada log de eventos está armazenado. Isso permite que o Visualizador de Eventos e outros aplicativos localizem os arquivos de log. Esse valor é do tipo REG_SZ ou REG_EXPAND_SZ. Este valor é opcional. Se o valor não for especificado, o padrão será %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe ou usando a funçãoEvtSetChannelConfigProperty com EvtChannelLoggingConfigLogFilePath passado para o parâmetro PropertyId.
Se um arquivo específico estiver definido, verifique se o serviço de log de eventos tem permissões totais no arquivo.
Esse valor precisa ser um nome de arquivo válido para um arquivo localizado em um diretório local (não um computador remoto, não um dispositivo DOS, não um disquete e não um pipe). Se a configuração do arquivo estiver errada, um evento será disparado no log de eventos do sistema quando o serviço de log de eventos for iniciado.
Não use variáveis de ambiente, no caminho para o arquivo, que não podem ser expandidas no contexto do serviço de log de eventos.
Windows Server 2003 e Windows XP/2000: Esse valor assume como padrão %SystemRoot%\system32\config\ seguido por um nome de arquivo baseado no nome da chave do Registro do log de eventos. Se a configuração Arquivo estiver definida como um valor inválido, o log não será inicializado corretamente ou todas as solicitações irão silenciosamente para o log padrão (Aplicativo).
MaxSize Tamanho máximo, em bytes, do ficheiro de registo. Este valor é do tipo REG_DWORD. O valor deve ser definido como um múltiplo de 64K para um log de Sistema, Aplicativo ou Segurança. O valor padrão é 1MB.Windows Server 2003 e Windows XP/2000: O valor é limitado a 0xFFFFFFFF e o valor padrão é 512K.
PrimaryModule Este valor não é utilizado.Windows Server 2003 e Windows XP/2000: Esse valor é o nome da subchave que contém os valores padrão para as entradas na subchave da fonte do evento. Este valor é do tipo REG_SZ.
de retenção Este valor é do tipo REG_DWORD. O valor padrão é 0. Se esse valor for 0, os registros de eventos serão sempre substituídos. Se esse valor for 0xFFFFFFFF ou qualquer valor diferente de zero, os registros nunca serão substituídos. Quando o arquivo de log atingir seu tamanho máximo, você deverá limpá-lo manualmente; caso contrário, novos eventos serão descartados. Você também deve limpar o log antes de poder alterar seu tamanho.Windows Server 2003 e Windows XP/2000: Esse valor é o intervalo de tempo, em segundos, que os registros de eventos são protegidos contra a substituição. Quando a idade de um evento atinge ou excede esse valor, ele pode ser substituído.
Fontes Este valor não é utilizado. Windows Server 2003 e Windows XP/2000: Nomes dos aplicativos, serviços ou grupos de aplicativos que gravam eventos nesse log. Este valor só deve ser lido e não alterado. O serviço de log de eventos mantém a lista com base em cada programa listado em uma subchave sob o log. Este valor é do tipo REG_MULTI_SZ.
AutoBackupLogFiles Esse valor é do tipo REG_DWORD e é usado pelo serviço de log de eventos para determinar se um log de eventos deve ser salvo automaticamente. O valor padrão é 0, o que desativa o backup automático. O serviço fará backup do arquivo de log somente se o valor de retenção for -1 (0xFFFFFFFF). Outros valores serão ignorados.Windows Server 2003: Retenção de pode ser definida como -1 (0xFFFFFFFF) ou 1 (0x00000001) para que AutoBackupLogFiles funcione. Outros valores serão ignorados.
RestrictGuestAccess Este valor não é utilizado. Windows XP/2000: Esse valor é do tipo REG_DWORD e o valor padrão é 1. Quando o valor é definido como 1, ele restringe o acesso da conta Convidado e Anônimo ao log de eventos e, quando esse valor é 0, permite o acesso da conta Convidado ao log de eventos.
Isolamento Define as permissões de acesso padrão para o log. Este valor é do tipo REG_SZ. Você pode especificar um dos seguintes valores:
  • Application
  • Sistema
  • personalizados
O isolamento padrão é Application. As permissões padrão para Application são (mostradas usando SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
As permissões padrão para do sistema são (mostradas usando SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
As permissões padrão para isolamento de personalizado são as mesmas que Aplicativo.
Windows Server 2003 e Windows XP/2000: Este valor não está disponível.

Cada log também contém fontes de eventos. Para obter mais informações, consulte Fontes de eventos.