Händelsekällor
Varje logg i Eventlog-nyckeln innehåller undernycklar som kallas händelsekällor. Händelsekällan är namnet på den programvara som loggar händelsen. Det är ofta namnet på programmet eller namnet på en underkomponent för programmet om programmet är stort. Du kan lägga till högst 16 384 händelsekällor i registret. Loggen Security är endast avsedd för systemanvändning. Enhetsdrivrutiner bör lägga till sina namn i loggen System. Program och tjänster bör lägga till sina namn i loggen Application eller skapa en anpassad logg.
Strukturen för händelsekällorna är följande:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
Du kan inte använda ett källnamn som redan har använts som ett loggnamn. Dessutom kan källnamn inte vara hierarkiska. det vill: de kan inte innehålla omvänt snedstreck ("\").
Varje händelsekälla innehåller information (till exempel en meddelandefil) som är specifik för den programvara som ska logga händelserna, enligt följande tabell.
Registervärde | Beskrivning |
---|---|
CategoryCount | Antal händelsekategorier som stöds. Det här värdet är av typen REG_DWORD. |
CategoryMessageFile | Sökväg till kategorimeddelandefilen. En kategorimeddelandefil innehåller språkberoende strängar som beskriver kategorierna. Det här värdet kan vara av typen REG_SZ eller REG_EXPAND_SZ. |
EventMessageFile | Sökväg till en eller flera händelsemeddelandefiler. använd ett semikolon för att avgränsa flera filer. En händelsemeddelandefil innehåller språkberoende strängar som beskriver händelserna. Det här värdet kan vara av typen REG_SZ eller REG_EXPAND_SZ. |
ParameterMessageFile | Sökväg till parametermeddelandefilen. En parametermeddelandefil innehåller språkoberoende strängar som ska infogas i händelsebeskrivningssträngarna. Det här värdet kan vara av typen REG_SZ eller REG_EXPAND_SZ. |
typesSupported | Bitmask för typer som stöds. Det här värdet är av typen REG_DWORD. Det kan vara ett eller flera av följande värden:
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
När ett program använder funktionen RegisterEventSource eller OpenEventLog för att få en referens till en händelselogg söker händelseloggningstjänsten efter den angivna händelsekällan i registret. Loggen Application kan till exempel innehålla händelsekällor för Microsoft SQL Server och Microsoft Excel. Om ett program använder RegisterEventSource eller OpenEventLog med källnamnet Application, SQL eller Excel, returnerar händelseloggningstjänsten ett handtag till loggen Application.
Ett program kan använda loggen Application utan att lägga till en ny händelsekälla i registret. Om programmet anropar RegisterEventSource och skickar ett källnamn som inte kan hittas i registret använder händelseloggningstjänsten loggen Application som standard. Men eftersom det inte finns några meddelandefiler kan loggboken inte mappa några händelseidentifierare eller händelsekategorier till en beskrivningssträng och visar ett fel. Därför bör du lägga till en unik händelsekälla i registret för ditt program och ange en meddelandefil.