共用方式為

Eventlog 索引鍵

  • 發行項

事件記錄檔包含下列標準記錄和自訂記錄:

日誌 描述
應用程式 包含應用程式所記錄的事件。 例如,資料庫應用程式可能會記錄檔案錯誤。 應用程式開發人員會決定要記錄的事件。
安全性 包含有效和無效登入嘗試等事件,以及與資源使用相關的事件,例如建立、開啟或刪除檔案或其他物件。 系統管理員可以開始稽核,以記錄安全性記錄檔中的事件。
系統 包含系統元件所記錄的事件,例如驅動程式或其他系統元件在啟動期間載入失敗。
CustomLog 包含應用程式所記錄的事件,這些事件是由建立自定義記錄檔的應用程式所記錄。 使用自定義記錄可讓應用程式控制記錄檔的大小,或基於安全性目的附加 ACL,而不會影響其他應用程式。

事件記錄服務會使用儲存在 Eventlog 登錄機碼中的資訊。 Eventlog 機碼包含數個子機碼,稱為 記錄。 每個記錄檔都包含事件記錄服務在應用程式寫入事件記錄檔並從中讀取時,用來尋找資源的資訊。

Eventlog 索引鍵的結構如下所示:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

請注意,網域控制器會在 Directory 服務中記錄事件,檔案復寫服務 記錄和 DNS 伺服器記錄 DNS 伺服器中的事件

每個記錄檔都可以包含下列登錄值。

登錄值 描述
CustomSD 限制事件記錄檔的存取。 此值的類型為 REG_SZ。 所使用的格式 安全性描述元定義語言 (SDDL)。 建構授與下列一或多個許可權的 ACL:
清除 (0x0004)
閱讀 (0x0001)
寫入 (0x0002)
若要成為語法有效的 SDDL,CustomSD 值必須指定擁有者和群組擁有者(例如 O:BAG:SY),但不會使用擁有者和群組擁有者。 如果 CustomSD 設定為錯誤值,事件記錄檔服務啟動時會在系統事件記錄檔中引發事件,而事件記錄檔會取得預設的安全性描述元,其與應用程式記錄檔的原始 CustomSD 值相同。 不支援 SCL。
如需詳細資訊,請參閱 事件記錄安全性
Windows Server 2003:支援 SCL。
Windows XP/2000: 不支援此值。
DisplayNameFile 未使用此值。 Windows Server 2003 和 Windows XP/2000: 儲存事件記錄檔當地語系化名稱的檔案名稱。 儲存在此檔案中的名稱會顯示為事件查看器中的記錄檔名稱。 如果此專案未出現在事件記錄檔的登錄中,事件查看器會將登錄子機碼的名稱顯示為記錄檔名稱。 此值的類型為 REG_EXPAND_SZ。 預設值為 %SystemRoot%\system32\els.dll。
DisplayNameID 未使用此值。 Windows Server 2003 和 Windows XP/2000: 記錄名稱字串串的訊息標識符。 此數位表示顯示本地化顯示名稱出現所在的訊息。 訊息會儲存在 DisplayNameFile 值所指定的檔案中。 此值的類型為 REG_DWORD。
檔案 儲存每個事件記錄檔之檔案的完整路徑。 這可讓事件查看器和其他應用程式尋找記錄檔。 此值的類型為 REG_SZ 或 REG_EXPAND_SZ。 這個值是選擇性的。 如果未指定值,它會預設為 %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe 或使用 EvtSetChannelConfigProperty 函式搭配 EvtChannelLoggingConfigLogFilePath 傳遞至 PropertyId 參數。
如果已設定特定檔案,請確定事件記錄服務具有檔案的完整許可權。
此值必須是位於本機目錄的檔案的有效檔名(不是遠端計算機、DOS 裝置、磁碟片,也不是管道)。 如果檔案設定錯誤,事件記錄檔服務啟動時,會在系統事件記錄檔中引發事件。
請勿在檔案的路徑中使用環境變數,無法在事件記錄服務的內容中展開。
Windows Server 2003 和 Windows XP/2000: 此值預設為 %SystemRoot%\system32\config\,後面接著以事件記錄檔登錄機碼名稱為基礎的檔名。 如果 [檔案] 設定設定為無效的值,則記錄檔將不會正確初始化,否則所有要求都會以無訊息方式移至默認記錄檔 (Application)。
MaxSize 記錄檔的大小上限,以位元組為單位。 此值的類型為 REG_DWORD。 此值必須設定為系統、應用程式或安全性記錄檔的 64K 倍數。 預設值為 1MB。Windows Server 2003 和 Windows XP/2000: 此值限制為0xFFFFFFFF,預設值為 512K。
PrimaryModule 未使用此值。Windows Server 2003 和 Windows XP/2000: 這個值是子機碼的名稱,其中包含事件來源子機碼中專案的預設值。 此值的類型為 REG_SZ。
保留 此值的類型為 REG_DWORD。 預設值為 0。 如果此值為 0,則一律會覆寫事件記錄。 如果此值是0xFFFFFFFF或任何非零值,則永遠不會覆寫記錄。 當記錄檔達到其大小上限時,您必須手動清除記錄檔;否則會捨棄新的事件。 您也必須清除記錄,才能變更其大小。Windows Server 2003 和 Windows XP/2000: 此值是時間間隔,以秒為單位,事件記錄會受到保護,以免遭到覆寫。 當事件的存留期達到或超過此值時,就可以覆寫它。
來源 未使用此值。 Windows Server 2003 和 Windows XP/2000: 將事件寫入此記錄的應用程式、服務或應用程式群組名稱。 這個值應該只能讀取,而不是改變。 事件記錄服務會根據記錄下子機碼中列出的每個程式來維護清單。 此值的類型為 REG_MULTI_SZ。
AutoBackupLogFiles 此值的類型為 REG_DWORD,事件記錄服務會使用此值來判斷是否應該自動儲存事件記錄檔。 默認值為 0,這會停用自動備份。 只有在保留值 -1 時,服務才會備份記錄檔(0xFFFFFFFF)。 將會忽略其他值。Windows Server 2003: 保留期可以設定為 -1 (0xFFFFFFFF) 或 1 (0x00000001),讓 AutoBackupLogFiles 能夠運作。 將會忽略其他值。
RestrictGuestAccess 未使用此值。 Windows XP/2000: 此值的類型為 REG_DWORD,預設值為 1。 當值設定為 1 時,它會限制客體和匿名帳戶對事件記錄檔的存取,而當此值為 0 時,它會允許來賓帳戶存取事件記錄檔。
隔離 定義記錄的預設訪問許可權。 此值的類型為 REG_SZ。 您可以指定下列其中一個值:
  • 應用程式
  • 系統
  • 自定義
默認隔離是應用程式 應用程式 的預設權限為 (使用 SDDL 顯示):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
系統 的預設權限為 (使用 SDDL 顯示):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
自定義 隔離的默認許可權與應用程式相同。
Windows Server 2003 和 Windows XP/2000: 這個值無法使用。

每個記錄檔也包含事件來源。 如需詳細資訊,請參閱 事件來源