Dela via


Händelsekällor

Varje logg i Eventlog-nyckeln innehåller undernycklar som kallas händelsekällor. Händelsekällan är namnet på den programvara som loggar händelsen. Det är ofta namnet på programmet eller namnet på en underkomponent för programmet om programmet är stort. Du kan lägga till högst 16 384 händelsekällor i registret. Loggen Security är endast avsedd för systemanvändning. Enhetsdrivrutiner bör lägga till sina namn i loggen System. Program och tjänster bör lägga till sina namn i loggen Application eller skapa en anpassad logg.

Strukturen för händelsekällorna är följande:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

Du kan inte använda ett källnamn som redan har använts som ett loggnamn. Dessutom kan källnamn inte vara hierarkiska. det vill: de kan inte innehålla omvänt snedstreck ("\").

Varje händelsekälla innehåller information (till exempel en meddelandefil) som är specifik för den programvara som ska logga händelserna, enligt följande tabell.

Registervärde Beskrivning
CategoryCount Antal händelsekategorier som stöds. Det här värdet är av typen REG_DWORD.
CategoryMessageFile Sökväg till kategorimeddelandefilen. En kategorimeddelandefil innehåller språkberoende strängar som beskriver kategorierna. Det här värdet kan vara av typen REG_SZ eller REG_EXPAND_SZ.
EventMessageFile Sökväg till en eller flera händelsemeddelandefiler. använd ett semikolon för att avgränsa flera filer. En händelsemeddelandefil innehåller språkberoende strängar som beskriver händelserna. Det här värdet kan vara av typen REG_SZ eller REG_EXPAND_SZ.
ParameterMessageFile Sökväg till parametermeddelandefilen. En parametermeddelandefil innehåller språkoberoende strängar som ska infogas i händelsebeskrivningssträngarna. Det här värdet kan vara av typen REG_SZ eller REG_EXPAND_SZ.
typesSupported Bitmask för typer som stöds. Det här värdet är av typen REG_DWORD. Det kan vara ett eller flera av följande värden:
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

 

När ett program använder funktionen RegisterEventSource eller OpenEventLog för att få en referens till en händelselogg söker händelseloggningstjänsten efter den angivna händelsekällan i registret. Loggen Application kan till exempel innehålla händelsekällor för Microsoft SQL Server och Microsoft Excel. Om ett program använder RegisterEventSource eller OpenEventLog med källnamnet Application, SQL eller Excel, returnerar händelseloggningstjänsten ett handtag till loggen Application.

Ett program kan använda loggen Application utan att lägga till en ny händelsekälla i registret. Om programmet anropar RegisterEventSource och skickar ett källnamn som inte kan hittas i registret använder händelseloggningstjänsten loggen Application som standard. Men eftersom det inte finns några meddelandefiler kan loggboken inte mappa några händelseidentifierare eller händelsekategorier till en beskrivningssträng och visar ett fel. Därför bör du lägga till en unik händelsekälla i registret för ditt program och ange en meddelandefil.