Freigeben über


Eventlog-Schlüssel

Das Ereignisprotokoll enthält die folgenden Standardprotokolle sowie benutzerdefinierte Protokolle:

Log BESCHREIBUNG
Anwendung Enthält von Anwendungen protokollierte Ereignisse. Beispielsweise kann eine Datenbankanwendung einen Dateifehler aufzeichnen. Der Anwendungsentwickler entscheidet, welche Ereignisse erfasst werden sollen.
Security Enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse im Zusammenhang mit der Ressourcennutzung, z. B. das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Ein Administrator kann mit der Überwachung beginnen, um Ereignisse im Sicherheitsprotokoll aufzuzeichnen.
System Enthält Ereignisse, die von Systemkomponenten protokolliert werden, z. B. fehler beim Laden eines Treibers oder einer anderen Systemkomponente beim Starten.
CustomLog Enthält Ereignisse, die von Anwendungen protokolliert werden, die ein benutzerdefiniertes Protokoll erstellen. Mithilfe eines benutzerdefinierten Protokolls kann eine Anwendung die Größe des Protokolls steuern oder ACLs zu Sicherheitszwecken anfügen, ohne dass sich dies auf andere Anwendungen auswirkt.

Der Ereignisprotokollierungsdienst verwendet die im Registrierungsschlüssel Eventlog gespeicherten Informationen. Der Eventlog-Schlüssel enthält mehrere Unterschlüssel, die als Protokolle bezeichnet werden. Jedes Protokoll enthält Informationen, die der Ereignisprotokollierungsdienst verwendet, um Ressourcen zu suchen, wenn eine Anwendung in das Ereignisprotokoll schreibt und aus diesem liest.

Die Struktur des Eventlog-Schlüssels lautet wie folgt:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Beachten Sie, dass Domänencontroller Ereignisse im Verzeichnisdienst und Dateireplikationsdienstprotokolle und DNS-Server Ereignisse auf dem DNS-Server aufzeichnen.

Jedes Protokoll kann die folgenden Registrierungswerte enthalten.

Registrierungswert BESCHREIBUNG
CustomSD Schränkt den Zugriff auf das Ereignisprotokoll ein. Dieser Wert ist vom Typ REG_SZ. Das verwendete Format ist Security Descriptor Definition Language (SDDL). Erstellen Sie eine ACL, die mindestens eine der folgenden Rechte gewährt:
Löschen (0x0004)
Lesen (0x0001)
Schreiben (0x0002)
Um eine syntaktisch gültige SDDL zu sein, muss der CustomSD-Wert einen Besitzer und einen Gruppenbesitzer angeben (z. B. O:BAG:SY), aber der Besitzer und der Gruppenbesitzer werden nicht verwendet. Wenn CustomSD auf einen falschen Wert festgelegt ist, wird ein Ereignis im Systemereignisprotokoll ausgelöst, wenn der Ereignisprotokolldienst gestartet wird, und das Ereignisprotokoll erhält eine Standardsicherheitsbeschreibung, die mit dem ursprünglichen CustomSD-Wert für das Anwendungsprotokoll identisch ist. SACLs werden nicht unterstützt.
Weitere Informationen finden Sie unter Ereignisprotokollierungssicherheit.
Windows Server 2003: SACLs werden unterstützt.
Windows XP/2000: Dieser Wert wird nicht unterstützt.

DisplayNameFile Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Name der Datei, die den lokalisierten Namen des Ereignisprotokolls speichert. Der in dieser Datei gespeicherte Name wird als Protokollname in Ereignisanzeige angezeigt. Wenn dieser Eintrag nicht in der Registrierung für ein Ereignisprotokoll angezeigt wird, zeigt Ereignisanzeige den Namen des Registrierungsunterschlüssels als Protokollnamen an. Dieser Wert ist vom Typ REG_EXPAND_SZ. Der Standardwert ist %SystemRoot%\system32\els.dll.
DisplayNameID Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Nachrichtenidentifikationsnummer der Protokollnamenzeichenfolge. Diese Zahl gibt die Meldung an, in der der lokalisierte Anzeigename angezeigt wird. Die Nachricht wird in der Datei gespeichert, die durch den Wert DisplayNameFile angegeben wird. Dieser Wert ist vom Typ REG_DWORD.
File Vollqualifizierter Pfad zu der Datei, in der jedes Ereignisprotokoll gespeichert ist. Dadurch können Ereignisanzeige und andere Anwendungen die Protokolldateien finden. Dieser Wert ist vom Typ REG_SZ oder REG_EXPAND_SZ. Dieser Wert ist optional. Wenn der Wert nicht angegeben wird, wird standardmäßig %SystemRoot%\system32\winevt\logs\ gefolgt von einem Dateinamen angegeben, der auf dem Namen des Ereignisprotokollregistrierungsschlüssels basiert. Der spezifische Ereignisprotokolldateipfad sollte mit dem Befehlszeilenhilfsprogramm wevtutil.exe oder mithilfe der EvtSetChannelConfigProperty-Funktion mit EvtChannelLoggingConfigLogFilePath festgelegt werden, das an den PropertyId-Parameter übergeben wird.
Wenn eine bestimmte Datei festgelegt ist, stellen Sie sicher, dass der Ereignisprotokolldienst über vollständige Berechtigungen für die Datei verfügt.
Dieser Wert muss ein gültiger Dateiname für eine Datei sein, die sich in einem lokalen Verzeichnis befindet (kein Remotecomputer, kein DOS-Gerät, keine Diskette und keine Pipe). Wenn die Dateieinstellung falsch ist, wird ein Ereignis im Systemereignisprotokoll ausgelöst, wenn der Ereignisprotokolldienst gestartet wird.
Verwenden Sie keine Umgebungsvariablen im Pfad zur Datei, die im Kontext des Ereignisprotokolldiensts nicht erweitert werden können.
Windows Server 2003 und Windows XP/2000: Dieser Wert ist standardmäßig %SystemRoot%\system32\config\ gefolgt von einem Dateinamen, der auf dem Namen des Ereignisprotokollregistrierungsschlüssels basiert. Wenn die Dateieinstellung auf einen ungültigen Wert festgelegt ist, wird das Protokoll entweder nicht ordnungsgemäß initialisiert, oder alle Anforderungen werden automatisch in das Standardprotokoll (Anwendung) gesendet.
Maxsize Maximale Größe der Protokolldatei in Bytes. Dieser Wert ist vom Typ REG_DWORD. Der Wert muss für ein System-, Anwendungs- oder Sicherheitsprotokoll auf ein Vielfaches von 64K festgelegt werden. Der Standardwert ist 1 MB. Windows Server 2003 und Windows XP/2000: Der Wert ist auf 0xFFFFFFFF beschränkt, und der Standardwert ist 512K.
PrimaryModule Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Dieser Wert ist der Name des Unterschlüssels, der die Standardwerte für die Einträge im Unterschlüssel für die Ereignisquelle enthält. Dieser Wert ist vom Typ REG_SZ.
Vermerkdauer Dieser Wert ist vom Typ REG_DWORD. Der Standardwert ist 0. Wenn dieser Wert 0 ist, werden die Datensätze von Ereignissen immer überschrieben. Wenn dieser Wert 0xFFFFFFFF oder ein nichtzero-Wert ist, werden Datensätze nie überschrieben. Wenn die Protokolldatei ihre maximale Größe erreicht, müssen Sie das Protokoll manuell löschen. andernfalls werden neue Ereignisse verworfen. Sie müssen auch das Protokoll löschen, bevor Sie seine Größe ändern können. Windows Server 2003 und Windows XP/2000: Dieser Wert ist das Zeitintervall in Sekunden, in dem Datensätze von Ereignissen vor überschrieben werden. Wenn das Alter eines Ereignisses diesen Wert erreicht oder überschreitet, kann es überschrieben werden.
Sources Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Namen der Anwendungen, Dienste oder Anwendungsgruppen, die Ereignisse in dieses Protokoll schreiben. Dieser Wert sollte nur gelesen und nicht geändert werden. Der Ereignisprotokolldienst verwaltet die Liste basierend auf jedem Programm, das in einem Unterschlüssel unter dem Protokoll aufgeführt ist. Dieser Wert ist vom Typ REG_MULTI_SZ.
AutoBackupLogFiles Dieser Wert ist vom Typ REG_DWORD und wird vom Ereignisprotokolldienst verwendet, um zu bestimmen, ob ein Ereignisprotokoll automatisch gespeichert werden soll. Der Standardwert ist 0, wodurch die automatische Sicherung deaktiviert wird. Der Dienst sichert die Protokolldatei nur, wenn der Aufbewahrungswert -1 (0xFFFFFFFF) ist. Andere Werte werden ignoriert. Windows Server 2003: Die Aufbewahrung kann auf -1 (0xFFFFFFFF) oder 1 (0x00000001) festgelegt werden, damit AutoBackupLogFiles funktioniert. Andere Werte werden ignoriert.
RestrictGuestAccess Dieser Wert wird nicht verwendet. Windows XP/2000: Dieser Wert ist vom Typ REG_DWORD, und der Standardwert ist 1. Wenn der Wert auf 1 festgelegt ist, schränkt er den Zugriff des Gast- und anonymen Kontos auf das Ereignisprotokoll ein, und wenn dieser Wert 0 ist, ermöglicht er den Zugriff des Gastkontos auf das Ereignisprotokoll.
Isolation Definiert die Standardzugriffsberechtigungen für das Protokoll. Dieser Wert ist vom Typ REG_SZ. Sie können einen der folgenden Werte angeben:
  • Anwendung
  • System
  • Benutzerdefiniert
Die Standardisolation ist Application. Die Standardberechtigungen für Anwendung sind (mit SDDL dargestellt):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read) 
Die Standardberechtigungen für System sind (mit SDDL dargestellt):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Die Standardberechtigungen für die benutzerdefinierte Isolation sind identisch mit application.
Windows Server 2003 und Windows XP/2000: Dieser Wert ist nicht verfügbar.

Jedes Protokoll enthält auch Ereignisquellen. Weitere Informationen finden Sie unter Ereignisquellen.