Sdílet prostřednictvím

Klíč protokolu událostí

Poznámka:

Rozhraní API protokolování událostí bylo určeno pro aplikace, které běží v operačním systému Windows Server 2003, Windows XP nebo Windows 2000. V systému Windows Vista byla infrastruktura protokolování událostí přepracována. Aplikace navržené tak, aby běžely v operačních systémech Windows Vista nebo novějších, by teď měly používat protokol událostí systému Windows.

Protokol událostí obsahuje následující standardní protokoly a také vlastní protokoly:

Kláda Popis
aplikace Obsahuje události protokolované aplikacemi. Například databázová aplikace může zaznamenat chybu souboru. Vývojář aplikace rozhodne, které události se mají zaznamenávat.
zabezpečení Obsahuje události, jako jsou platné a neplatné pokusy o přihlášení, a také události související s prostředkem, jako je vytváření, otevírání nebo odstraňování souborů nebo jiných objektů. Správce může zahájit auditování, aby zaznamenával události v protokolu zabezpečení.
System Obsahuje události protokolované systémovými komponentami, jako je selhání ovladače nebo jiné systémové součásti, které se mají načíst během spouštění.
CustomLog Obsahuje události protokolované aplikacemi, které vytvářejí vlastní protokol. Použití vlastního protokolu umožňuje aplikaci řídit velikost protokolu nebo připojit seznamy ACL pro účely zabezpečení, aniž by to mělo vliv na jiné aplikace.

Služba protokolování událostí používá informace uložené v protokolu událostí protokolu událostí klíč registru. Klíč protokolu událostí obsahuje několik podklíčů označovaných jako protokoly . Každý protokol obsahuje informace, které služba protokolování událostí používá k vyhledání prostředků, když aplikace zapisuje a čte z protokolu událostí.

Struktura klíče Eventlog je následující:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Všimněte si, že řadiče domény zaznamenávají události v adresářové službě a službě replikace souborů protokoly a servery DNS zaznamenávají události na serveru DNS.

Každý protokol může obsahovat následující hodnoty registru.

Hodnota registru Popis
customSD Omezuje přístup k protokolu událostí. Tato hodnota je typu REG_SZ. Použitý formát je Jazyk definice popisovače zabezpečení (SDDL). Vytvořte seznam ACL, který uděluje jedno nebo více následujících práv:
Vymazat (0x0004)
Čtení (0x0001)
Zápis (0x0002)
Aby byla syntakticky platná SDDL, musí hodnota CustomSD zadat vlastníka a vlastníka skupiny (například O:BAG:SY), ale vlastník a vlastník skupiny se nepoužívají. Pokud je customSD nastavena na nesprávnou hodnotu, událost se aktivuje v protokolu událostí systému při spuštění služby protokolu událostí a protokol událostí získá výchozí popisovač zabezpečení, který je identický s původní hodnotou CustomSD pro protokol aplikace. Seznamy SAC Nejsou podporovány.
Další informace naleznete v tématu zabezpečení protokolování událostí.
DisplayNameFile Tato hodnota se nepoužívá.
DisplayNameID Tato hodnota se nepoužívá.
souboru Plně kvalifikovaná cesta k souboru, kde je uložen každý protokol událostí. To umožňuje prohlížeči událostí a dalším aplikacím najít soubory protokolu. Tato hodnota je typu REG_SZ nebo REG_EXPAND_SZ. Tato hodnota je nepovinná. Pokud tato hodnota není zadaná, ve výchozím nastavení se %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe nebo pomocí funkce EvtSetChannelConfigProperty s parametrem EvtChannelLoggingConfigLogFilePath předaným do parametru PropertyId.
Pokud je nastavený konkrétní soubor, ujistěte se, že má služba protokolu událostí úplná oprávnění k souboru.
Tato hodnota musí být platný název souboru, který je umístěn v místním adresáři (ne vzdálený počítač, ne zařízení DOS, ne disketa, a ne kanál). Pokud je nastavení souboru nesprávné, událost se aktivuje v protokolu událostí systému při spuštění služby protokolu událostí.
Nepoužívejte proměnné prostředí v cestě k souboru, které nelze rozbalit v kontextu služby protokolu událostí.
MaxSize Maximální velikost souboru protokolu v bajtech Tato hodnota je typu REG_DWORD. Hodnota musí být nastavena na násobek 64 K pro systém, aplikaci nebo protokol zabezpečení. Výchozí hodnota je 1 MB.
primaryModule Tato hodnota se nepoužívá.
uchovávání Tato hodnota je typu REG_DWORD. Výchozí hodnota je 0. Pokud je tato hodnota 0, záznamy událostí se vždy přepíšou. Pokud je tato hodnota 0xFFFFFFFF nebo jakákoli nenulová hodnota, záznamy se nikdy nepřepíšou. Když soubor protokolu dosáhne maximální velikosti, musíte protokol vymazat ručně; v opačném případě se nové události zahodí. Než budete moct změnit jeho velikost, musíte také vymazat protokol.
zdroje Tato hodnota se nepoužívá.
AutoBackupLogFiles Tato hodnota je typu REG_DWORD a používá ji služba protokolu událostí k určení, zda má být protokol událostí automaticky uložen. Výchozí hodnota je 0, což zakáže automatické zálohování. Služba zálohuje soubor protokolu pouze v případě, že je hodnota uchovávání -1 (0xFFFFFFFF). Ostatní hodnoty budou ignorovány. Windows Server 2003: Pro funkci AutoBackupLogFiles je možné nastavit -1 (0xFFFFFFFF) nebo 1 (0x00000001). Ostatní hodnoty budou ignorovány.
RestrictGuestAccess Tato hodnota se nepoužívá.
izolace Definuje výchozí přístupová oprávnění pro protokol. Tato hodnota je typu REG_SZ. Můžete zadat jednu z následujících hodnot:
  • aplikace
  • System
  • vlastní
Výchozí izolace je application. Výchozí oprávnění pro application jsou (zobrazená pomocí SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Výchozí oprávnění pro systému jsou (zobrazená pomocí SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Výchozí oprávnění pro vlastní izolaci je stejná jako aplikace.

Každý protokol obsahuje také zdroje událostí. Další informace naleznete v tématu zdroje událostí.

  • Last updated on