Aracılığıyla paylaş

Eventlog Anahtarı

  • Makale

Olay günlüğü, özel günlüklerin yanı sıra aşağıdaki standart günlükleri içerir:

Kütük Açıklama
uygulama Uygulamalar tarafından günlüğe kaydedilen olayları içerir. Örneğin, veritabanı uygulaması bir dosya hatası kaydedebilir. Hangi olayların kaydedileceğine uygulama geliştiricisi karar verir.
Güvenlik Geçerli ve geçersiz oturum açma girişimleri gibi olayların yanı sıra dosya veya diğer nesneleri oluşturma, açma veya silme gibi kaynak kullanımıyla ilgili olayları içerir. Bir yönetici güvenlik günlüğüne olayları kaydetmek için denetimi başlatabilir.
sistem Bir sürücünün veya başka bir sistem bileşeninin başlatma sırasında yüklenememesi gibi sistem bileşenleri tarafından günlüğe kaydedilen olayları içerir.
CustomLog Özel günlük oluşturan uygulamalar tarafından günlüğe kaydedilen olayları içerir. Özel günlük kullanmak, uygulamanın günlüğün boyutunu denetlemesine veya diğer uygulamaları etkilemeden güvenlik amacıyla ACL'ler eklemesine olanak tanır.

Olay günlüğü hizmeti, Eventlog kayıt defteri anahtarında depolanan bilgileri kullanır. Eventlog anahtarı, günlükleri olarak adlandırılan birkaç alt anahtar içerir. Her günlük, olay günlüğü hizmetinin bir uygulama olay günlüğüne yazdığında ve olay günlüğünden okuduğunda kaynakları bulmak için kullandığı bilgileri içerir.

Eventlog anahtarının yapısı aşağıdaki gibidir:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Etki alanı denetleyicilerinin olayları Dizin hizmeti ve Dosya Çoğaltma hizmeti günlüklerinin ve DNS sunucularının DNS sunucusuolayları kaydettiğini unutmayın.

Her günlük aşağıdaki kayıt defteri değerlerini içerebilir.

Kayıt defteri değeri Açıklama
CustomSD Olay günlüğüne erişimi kısıtlar. Bu değer REG_SZ türündedir. Kullanılan biçim, Güvenlik Tanımlayıcısı Tanım Dili (SDDL). Aşağıdaki haklardan birini veya daha fazlasını veren bir ACL oluşturma:
Temizle (0x0004)
Okuma (0x0001)
Yazma (0x0002)
Bozulmadan geçerli bir SDDL olması için CustomSD değerinin bir sahip ve bir grup sahibi (örneğin, O:BAG:SY) belirtmesi gerekir, ancak sahip ve grup sahibi kullanılmaz. CustomSD yanlış bir değere ayarlanırsa, olay günlüğü hizmeti başlatıldığında Sistem olay günlüğünde bir olay tetiklenir ve olay günlüğü, Uygulama günlüğü için özgün CustomSD değeriyle aynı olan varsayılan bir güvenlik tanımlayıcısı alır. SACL'ler desteklenmez.
Daha fazla bilgi için bkz. olay günlüğü güvenliği .
Windows Server 2003: SACL'leri desteklenir.
Windows XP/2000: Bu değer desteklenmez.
DisplayNameFile Bu değer kullanılmaz. Windows Server 2003 ve Windows XP/2000: Olay günlüğünün yerelleştirilmiş adını depolayan dosyanın adı. Bu dosyada depolanan ad, Olay Görüntüleyicisi'nde günlük adı olarak görünür. Bu girdi bir olay günlüğü için kayıt defterinde görünmüyorsa, Olay Görüntüleyicisi kayıt defteri alt anahtarının adını günlük adı olarak görüntüler. Bu değer REG_EXPAND_SZ türündedir. Varsayılan değer %SystemRoot%\system32\els.dlldeğeridir.
DisplayNameID Bu değer kullanılmaz. Windows Server 2003 ve Windows XP/2000: Günlük adı dizesinin ileti tanımlama numarası. Bu sayı, yerelleştirilmiş görünen adın görüntülendiği iletiyi gösterir. İleti, DisplayNameFile değeri tarafından belirtilen dosyada depolanır. Bu değer REG_DWORD türündedir.
dosya Her olay günlüğünün depolandığı dosyanın tam yolu. Bu, Olay Görüntüleyicisi'nin ve diğer uygulamaların günlük dosyalarını bulmasını sağlar. Bu değer REG_SZ veya REG_EXPAND_SZ türündedir. Bu değer isteğe bağlıdır. Değer belirtilmezse, varsayılan olarak %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe olarak veya PropertyId parametresine geçirilen EvtChannelLoggingConfigLogFilePath ile EvtSetChannelConfigProperty işlevini kullanarak kullanılır.
Belirli bir dosya ayarlandıysa, olay günlüğü hizmetinin dosya üzerinde tam izinlere sahip olduğundan emin olun.
Bu değerin yerel dizinde (uzak bilgisayar, DOS cihazı, disket veya kanal değil) bulunan bir dosya için geçerli bir dosya adı olması gerekir. Dosya ayarı yanlışsa, olay günlüğü hizmeti başlatıldığında Sistem olay günlüğünde bir olay tetiklenir.
Dosya yolunda, olay günlüğü hizmeti bağlamında genişletilemeyen ortam değişkenlerini kullanmayın.
Windows Server 2003 ve Windows XP/2000: Bu değer varsayılan olarak \system32\config\ %SystemRoot%ve ardından olay günlüğü kayıt defteri anahtarı adını temel alan bir dosya adı olarak ayarlanır. Dosya ayarı geçersiz bir değere ayarlanırsa, günlük düzgün başlatılmaz veya tüm istekler sessizce varsayılan günlüğe (Uygulama) gider.
MaxSize Günlük dosyasının bayt cinsinden en büyük boyutu. Bu değer REG_DWORD türündedir. Değer, Sistem, Uygulama veya Güvenlik günlüğü için 64K'nın katı olarak ayarlanmalıdır. Varsayılan değer 1 MB'tır.Windows Server 2003 ve Windows XP/2000: Değer 0xFFFFFFFF ile sınırlıdır ve varsayılan değer 512K'dir.
PrimaryModule Bu değer kullanılmaz.Windows Server 2003 ve Windows XP/2000: Bu değer, olay kaynağının alt anahtarındaki girdilerin varsayılan değerlerini içeren alt anahtarın adıdır. Bu değer REG_SZ türündedir.
Bekletme Bu değer REG_DWORD türündedir. Varsayılan değer 0'dır. Bu değer 0 ise, olay kayıtlarının her zaman üzerine yazılır. Bu değer 0xFFFFFFFF veya sıfır olmayan bir değerse, kayıtların üzerine hiçbir zaman yazılmaz. Günlük dosyası en büyük boyutuna ulaştığında, günlüğü el ile temizlemeniz gerekir; aksi takdirde, yeni olaylar atılır. Boyutunu değiştirebilmeniz için önce günlüğü de temizlemeniz gerekir.Windows Server 2003 ve Windows XP/2000: Bu değer, saniye cinsinden olay kayıtlarının üzerine yazılmasının korunduğu zaman aralığıdır. Bir olayın yaşı bu değere ulaştığında veya bu değeri aştığında üzerine yazılabilir.
Kaynakları Bu değer kullanılmaz. Windows Server 2003 ve Windows XP/2000: Bu günlüğe olay yazan uygulamaların, hizmetlerin veya uygulama gruplarının adları. Bu değer yalnızca okunmalıdır ve değiştirilmemelidir. Olay günlüğü hizmeti, günlüğün altındaki bir alt anahtarda listelenen her programı temel alarak listeyi korur. Bu değer REG_MULTI_SZ türündedir.
AutoBackupLogFiles Bu değer REG_DWORD türündedir ve olay günlüğü hizmeti tarafından bir olay günlüğünün otomatik olarak kaydedilip kaydedilmeyeceğini belirlemek için kullanılır. Varsayılan değer 0'dır ve otomatik yedekleme devre dışı bırakılır. Hizmet günlük dosyasını yalnızca bekletme değeri -1 (0xFFFFFFFF) olduğunda yedekler. Diğer değerler yoksayılır.Windows Server 2003: autoBackupLogFiles'ın çalışması için Bekletme -1 (0xFFFFFFFF) veya 1 (0x00000001) olarak ayarlanabilir. Diğer değerler yoksayılır.
RestrictGuestAccess Bu değer kullanılmaz. Windows XP/2000: Bu değer REG_DWORD türündedir ve varsayılan değer 1'dir. Değer 1 olarak ayarlandığında Konuk ve Anonim hesap erişimini olay günlüğüne kısıtlar ve bu değer 0 olduğunda Konuk hesabının olay günlüğüne erişimine izin verir.
Yalıtım Günlük için varsayılan erişim izinlerini tanımlar. Bu değer REG_SZ türündedir. Aşağıdaki değerlerden birini belirtebilirsiniz:
  • uygulama
  • sistem
  • özel
Varsayılan yalıtım uygulama . Uygulama için varsayılan izinler şunlardır (SDDL kullanılarak gösterilir): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Sistem için varsayılan izinler (SDDL kullanılarak gösterilir): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Özel yalıtımı için varsayılan izinler Uygulama ile aynıdır.
Windows Server 2003 ve Windows XP/2000: Bu değer kullanılamaz.

Her günlük ayrıca olay kaynakları içerir. Daha fazla bilgi için bkz. Olay Kaynakları.