Eventlog-Schlüssel
Das Ereignisprotokoll enthält die folgenden Standardprotokolle sowie benutzerdefinierte Protokolle:
| Log | BESCHREIBUNG |
|---|---|
| Anwendung | Enthält von Anwendungen protokollierte Ereignisse. Beispielsweise kann eine Datenbankanwendung einen Dateifehler aufzeichnen. Der Anwendungsentwickler entscheidet, welche Ereignisse erfasst werden sollen. |
| Security | Enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse im Zusammenhang mit der Ressourcennutzung, z. B. das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Ein Administrator kann mit der Überwachung beginnen, um Ereignisse im Sicherheitsprotokoll aufzuzeichnen. |
| System | Enthält Ereignisse, die von Systemkomponenten protokolliert werden, z. B. fehler beim Laden eines Treibers oder einer anderen Systemkomponente beim Starten. |
| CustomLog | Enthält Ereignisse, die von Anwendungen protokolliert werden, die ein benutzerdefiniertes Protokoll erstellen. Mithilfe eines benutzerdefinierten Protokolls kann eine Anwendung die Größe des Protokolls steuern oder ACLs zu Sicherheitszwecken anfügen, ohne dass sich dies auf andere Anwendungen auswirkt. |
Der Ereignisprotokollierungsdienst verwendet die im Registrierungsschlüssel Eventlog gespeicherten Informationen. Der Eventlog-Schlüssel enthält mehrere Unterschlüssel, die als Protokolle bezeichnet werden. Jedes Protokoll enthält Informationen, die der Ereignisprotokollierungsdienst verwendet, um Ressourcen zu suchen, wenn eine Anwendung in das Ereignisprotokoll schreibt und aus diesem liest.
Die Struktur des Eventlog-Schlüssels lautet wie folgt:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
Eventlog
Application
Security
System
CustomLog
Beachten Sie, dass Domänencontroller Ereignisse im Verzeichnisdienst und Dateireplikationsdienstprotokolle und DNS-Server Ereignisse auf dem DNS-Server aufzeichnen.
Jedes Protokoll kann die folgenden Registrierungswerte enthalten.
| Registrierungswert | BESCHREIBUNG |
|---|---|
| CustomSD | Schränkt den Zugriff auf das Ereignisprotokoll ein. Dieser Wert ist vom Typ REG_SZ. Das verwendete Format ist Security Descriptor Definition Language (SDDL). Erstellen Sie eine ACL, die mindestens eine der folgenden Rechte gewährt:
Lesen (0x0001) Schreiben (0x0002) Weitere Informationen finden Sie unter Ereignisprotokollierungssicherheit. Windows Server 2003: SACLs werden unterstützt. Windows XP/2000: Dieser Wert wird nicht unterstützt. |
| DisplayNameFile | Dieser Wert wird nicht verwendet.
Windows Server 2003 und Windows XP/2000: Name der Datei, die den lokalisierten Namen des Ereignisprotokolls speichert. Der in dieser Datei gespeicherte Name wird als Protokollname in Ereignisanzeige angezeigt. Wenn dieser Eintrag nicht in der Registrierung für ein Ereignisprotokoll angezeigt wird, zeigt Ereignisanzeige den Namen des Registrierungsunterschlüssels als Protokollnamen an. Dieser Wert ist vom Typ REG_EXPAND_SZ. Der Standardwert ist %SystemRoot%\system32\els.dll. |
| DisplayNameID | Dieser Wert wird nicht verwendet.
Windows Server 2003 und Windows XP/2000: Nachrichtenidentifikationsnummer der Protokollnamenzeichenfolge. Diese Zahl gibt die Meldung an, in der der lokalisierte Anzeigename angezeigt wird. Die Nachricht wird in der Datei gespeichert, die durch den Wert DisplayNameFile angegeben wird. Dieser Wert ist vom Typ REG_DWORD. |
| File | Vollqualifizierter Pfad zu der Datei, in der jedes Ereignisprotokoll gespeichert ist. Dadurch können Ereignisanzeige und andere Anwendungen die Protokolldateien finden. Dieser Wert ist vom Typ REG_SZ oder REG_EXPAND_SZ. Dieser Wert ist optional. Wenn der Wert nicht angegeben wird, wird standardmäßig %SystemRoot%\system32\winevt\logs\ gefolgt von einem Dateinamen angegeben, der auf dem Namen des Ereignisprotokollregistrierungsschlüssels basiert. Der spezifische Ereignisprotokolldateipfad sollte mit dem Befehlszeilenhilfsprogramm wevtutil.exe oder mithilfe der EvtSetChannelConfigProperty-Funktion mit EvtChannelLoggingConfigLogFilePath festgelegt werden, das an den PropertyId-Parameter übergeben wird. Wenn eine bestimmte Datei festgelegt ist, stellen Sie sicher, dass der Ereignisprotokolldienst über vollständige Berechtigungen für die Datei verfügt. Dieser Wert muss ein gültiger Dateiname für eine Datei sein, die sich in einem lokalen Verzeichnis befindet (kein Remotecomputer, kein DOS-Gerät, keine Diskette und keine Pipe). Wenn die Dateieinstellung falsch ist, wird ein Ereignis im Systemereignisprotokoll ausgelöst, wenn der Ereignisprotokolldienst gestartet wird. Verwenden Sie keine Umgebungsvariablen im Pfad zur Datei, die im Kontext des Ereignisprotokolldiensts nicht erweitert werden können. Windows Server 2003 und Windows XP/2000: Dieser Wert ist standardmäßig %SystemRoot%\system32\config\ gefolgt von einem Dateinamen, der auf dem Namen des Ereignisprotokollregistrierungsschlüssels basiert. Wenn die Dateieinstellung auf einen ungültigen Wert festgelegt ist, wird das Protokoll entweder nicht ordnungsgemäß initialisiert, oder alle Anforderungen werden automatisch in das Standardprotokoll (Anwendung) gesendet. |
| Maxsize | Maximale Größe der Protokolldatei in Bytes. Dieser Wert ist vom Typ REG_DWORD. Der Wert muss für ein System-, Anwendungs- oder Sicherheitsprotokoll auf ein Vielfaches von 64K festgelegt werden. Der Standardwert ist 1 MB. Windows Server 2003 und Windows XP/2000: Der Wert ist auf 0xFFFFFFFF beschränkt, und der Standardwert ist 512K. |
| PrimaryModule | Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Dieser Wert ist der Name des Unterschlüssels, der die Standardwerte für die Einträge im Unterschlüssel für die Ereignisquelle enthält. Dieser Wert ist vom Typ REG_SZ. |
| Vermerkdauer | Dieser Wert ist vom Typ REG_DWORD. Der Standardwert ist 0. Wenn dieser Wert 0 ist, werden die Datensätze von Ereignissen immer überschrieben. Wenn dieser Wert 0xFFFFFFFF oder ein nichtzero-Wert ist, werden Datensätze nie überschrieben. Wenn die Protokolldatei ihre maximale Größe erreicht, müssen Sie das Protokoll manuell löschen. andernfalls werden neue Ereignisse verworfen. Sie müssen auch das Protokoll löschen, bevor Sie seine Größe ändern können. Windows Server 2003 und Windows XP/2000: Dieser Wert ist das Zeitintervall in Sekunden, in dem Datensätze von Ereignissen vor überschrieben werden. Wenn das Alter eines Ereignisses diesen Wert erreicht oder überschreitet, kann es überschrieben werden. |
| Sources | Dieser Wert wird nicht verwendet.
Windows Server 2003 und Windows XP/2000: Namen der Anwendungen, Dienste oder Anwendungsgruppen, die Ereignisse in dieses Protokoll schreiben. Dieser Wert sollte nur gelesen und nicht geändert werden. Der Ereignisprotokolldienst verwaltet die Liste basierend auf jedem Programm, das in einem Unterschlüssel unter dem Protokoll aufgeführt ist. Dieser Wert ist vom Typ REG_MULTI_SZ. |
| AutoBackupLogFiles | Dieser Wert ist vom Typ REG_DWORD und wird vom Ereignisprotokolldienst verwendet, um zu bestimmen, ob ein Ereignisprotokoll automatisch gespeichert werden soll. Der Standardwert ist 0, wodurch die automatische Sicherung deaktiviert wird. Der Dienst sichert die Protokolldatei nur, wenn der Aufbewahrungswert -1 (0xFFFFFFFF) ist. Andere Werte werden ignoriert. Windows Server 2003: Die Aufbewahrung kann auf -1 (0xFFFFFFFF) oder 1 (0x00000001) festgelegt werden, damit AutoBackupLogFiles funktioniert. Andere Werte werden ignoriert. |
| RestrictGuestAccess | Dieser Wert wird nicht verwendet.
Windows XP/2000: Dieser Wert ist vom Typ REG_DWORD, und der Standardwert ist 1. Wenn der Wert auf 1 festgelegt ist, schränkt er den Zugriff des Gast- und anonymen Kontos auf das Ereignisprotokoll ein, und wenn dieser Wert 0 ist, ermöglicht er den Zugriff des Gastkontos auf das Ereignisprotokoll. |
| Isolation | Definiert die Standardzugriffsberechtigungen für das Protokoll. Dieser Wert ist vom Typ REG_SZ. Sie können einen der folgenden Werte angeben:
Windows Server 2003 und Windows XP/2000: Dieser Wert ist nicht verfügbar. |
Jedes Protokoll enthält auch Ereignisquellen. Weitere Informationen finden Sie unter Ereignisquellen.