Orígenes de eventos
Cada registro de la clave eventlog contiene subclaves denominadas orígenes de eventos. El origen del evento es el nombre del software que registra el evento. A menudo es el nombre de la aplicación o el nombre de un subcomponente de la aplicación si la aplicación es grande. Puede agregar un máximo de 16 384 orígenes de eventos al registro. El registro de seguridad es solo para uso del sistema. Los controladores de dispositivo deben agregar sus nombres al registro del sistema . Las aplicaciones y los servicios deben agregar sus nombres al registro de aplicaciones o crear un registro personalizado.
La estructura de los orígenes de eventos es la siguiente:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
No puede usar un nombre de origen que ya se haya usado como nombre de registro. Además, los nombres de origen no pueden ser jerárquicos; es decir, no pueden contener el carácter de barra diagonal inversa ("\").
Cada origen de eventos contiene información (como un archivo de mensaje) específica del software que registrará los eventos, como se muestra en la tabla siguiente.
Valor del Registro | Descripción |
---|---|
CategoryCount | Número de categorías de eventos admitidas. Este valor es de tipo REG_DWORD. |
CategoryMessageFile | Ruta de acceso al archivo de mensaje de categoría. Un archivo de mensaje de categoría contiene cadenas dependientes del idioma que describen las categorías. Este valor puede ser de tipo REG_SZ o REG_EXPAND_SZ. |
EventMessageFile | Ruta de acceso a uno o varios archivos de mensajes de eventos; use un punto y coma para delimitar varios archivos. Un archivo de mensaje de evento contiene cadenas dependientes del idioma que describen los eventos. Este valor puede ser de tipo REG_SZ o REG_EXPAND_SZ. |
ParameterMessageFile | Ruta de acceso al archivo de mensaje de parámetros. Un archivo de mensaje de parámetro contiene cadenas independientes del lenguaje que se van a insertar en las cadenas de descripción del evento. Este valor puede ser de tipo REG_SZ o REG_EXPAND_SZ. |
TypesSupported | Máscara de bits de tipos admitidos. Este valor es de tipo REG_DWORD. Puede ser uno o varios de los valores siguientes:
EVENTLOG_AUDIT_SUCCESS (0x0008) EVENTLOG_ERROR_TYPE (0x0001) EVENTLOG_INFORMATION_TYPE (0x0004) EVENTLOG_WARNING_TYPE (0x0002) |
Cuando una aplicación usa la función RegisterEventSource o OpenEventLog para obtener un identificador de un registro de eventos, el servicio de registro de eventos busca el origen de eventos especificado en el registro. Por ejemplo, el registro de aplicaciones puede contener orígenes de eventos para Microsoft SQL Server y Microsoft Excel. Si una aplicación usa RegisterEventSource o OpenEventLog con un nombre de origen de Application, SQL o Excel, el servicio de registro de eventos devuelve un identificador al registro de aplicaciones.
Una aplicación puede usar el registro de aplicación sin agregar un nuevo origen de eventos al registro. Si la aplicación llama a RegisterEventSource y pasa un nombre de origen que no se encuentra en el registro, el servicio de registro de eventos usa el registro de aplicaciones de forma predeterminada. Sin embargo, dado que no hay archivos de mensaje, el Visor de eventos no puede asignar identificadores de eventos ni categorías de eventos a una cadena de descripción y mostrará un error. Por este motivo, debe agregar un origen de eventos único al registro de la aplicación y especificar un archivo de mensaje.