Partager via


Touche eventlog

Le journal des événements contient les journaux standard suivants, ainsi que des journaux personnalisés :

Journal Description
Application Contient les événements enregistrés par les applications. Par exemple, une application de base de données peut enregistrer une erreur de fichier. Le développeur de l’application détermine les événements à enregistrer.
Sécurité Contient des événements tels que des tentatives d’ouverture de session valides et non valides, ainsi que des événements liés à l’utilisation des ressources, tels que la création, l’ouverture ou la suppression de fichiers ou d’autres objets. Un administrateur peut commencer l’audit pour enregistrer les événements dans le journal de sécurité.
Système Contient les événements enregistrés par les composants système, tels que l’échec du chargement d’un pilote ou d’un autre composant système au démarrage.
CustomLog Contient les événements consignés par les applications qui créent un journal personnalisé. L’utilisation d’un journal personnalisé permet à une application de contrôler la taille du journal ou d’attacher des listes de contrôle d’accès à des fins de sécurité sans affecter d’autres applications.

Le service de journalisation des événements utilise les informations stockées dans la clé de Registre Eventlog . La clé Eventlog contient plusieurs sous-clés, appelées journaux. Chaque journal contient des informations que le service de journalisation des événements utilise pour localiser les ressources lorsqu’une application écrit et lit dans le journal des événements.

La structure de la clé Eventlog est la suivante :

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Notez que les contrôleurs de domaine enregistrent les événements dans les journaux du service d’annuaire et du service de réplication de fichiers et les serveurs DNS enregistrent les événements dans le serveur DNS.

Chaque journal peut contenir les valeurs de Registre suivantes.

Valeur de Registre Description
CustomSD Restreint l’accès au journal des événements. Cette valeur est de type REG_SZ. Le format utilisé est SDDL ( Security Descriptor Definition Language ). Construisez une liste de contrôle d’accès qui accorde un ou plusieurs des droits suivants :
Effacer (0x0004)
Lecture (0x0001)
Écriture (0x0002)
Pour être un SDDL syntaxiquement valide, la valeur CustomSD doit spécifier un propriétaire et un propriétaire de groupe (par exemple, O:BAG:SY), mais le propriétaire et le propriétaire du groupe ne sont pas utilisés. Si CustomSD est défini sur une valeur incorrecte, un événement est déclenché dans le journal des événements système au démarrage du service du journal des événements, et le journal des événements obtient un descripteur de sécurité par défaut identique à la valeur CustomSD d’origine pour le journal des applications. Les fichiers SACL ne sont pas pris en charge.
Pour plus d’informations, consultez Sécurité de la journalisation des événements.
Windows Server 2003 : Les FICHIERS SACL sont pris en charge.
Windows XP/2000 : Cette valeur n’est pas prise en charge.

DisplayNameFile Cette valeur n'est pas utilisée. Windows Server 2003 et Windows XP/2000 : Nom du fichier qui stocke le nom localisé du journal des événements. Le nom stocké dans ce fichier apparaît en tant que nom de journal dans observateur d'événements. Si cette entrée n’apparaît pas dans le registre pour un journal des événements, observateur d'événements affiche le nom de la sous-clé de Registre comme nom du journal. Cette valeur est de type REG_EXPAND_SZ. La valeur par défaut est %SystemRoot%\system32\els.dll.
DisplayNameID Cette valeur n'est pas utilisée. Windows Server 2003 et Windows XP/2000 : Numéro d’identification du message de la chaîne de nom de journal. Ce nombre indique le message dans lequel le nom d’affichage localisé apparaît. Le message est stocké dans le fichier spécifié par la valeur DisplayNameFile . Cette valeur est de type REG_DWORD.
File Chemin d’accès complet au fichier où chaque journal des événements est stocké. Cela permet observateur d'événements et d’autres applications de rechercher les fichiers journaux. Cette valeur est de type REG_SZ ou REG_EXPAND_SZ. Cette valeur est facultative. Si la valeur n’est pas spécifiée, la valeur par défaut est %SystemRoot%\system32\winevt\logs\ suivie d’un nom de fichier basé sur le nom de clé du registre du journal des événements. Le chemin du fichier journal des événements spécifique doit être défini à l’aide de l’utilitaire de ligne de commande wevtutil.exe ou à l’aide de la fonction EvtSetChannelConfigProperty avec EvtChannelLoggingConfigLogFilePath passé dans le paramètre PropertyId .
Si un fichier spécifique est défini, assurez-vous que le service de journal des événements dispose d’autorisations complètes sur le fichier.
Cette valeur doit être un nom de fichier valide pour un fichier situé dans un répertoire local (pas un ordinateur distant, ni un appareil DOS, ni une disquette, ni un canal). Si le paramètre de fichier est incorrect, un événement est déclenché dans le journal des événements système au démarrage du service du journal des événements.
N’utilisez pas de variables d’environnement, dans le chemin d’accès au fichier, qui ne peuvent pas être développées dans le contexte du service de journal des événements.
Windows Server 2003 et Windows XP/2000 : Cette valeur est par défaut %SystemRoot%\system32\config\ suivie d’un nom de fichier basé sur le nom de clé du registre du journal des événements. Si le paramètre Fichier est défini sur une valeur non valide, le journal n’est pas initialisé correctement ou toutes les requêtes sont envoyées en mode silencieux au journal par défaut (Application).
Maxsize Taille maximale, en octets, du fichier journal. Cette valeur est de type REG_DWORD. La valeur doit être définie sur un multiple de 64 Ko pour un journal système, d’application ou de sécurité. La valeur par défaut est 1 Mo. Windows Server 2003 et Windows XP/2000 : La valeur est limitée à 0xFFFFFFFF et la valeur par défaut est 512 Ko.
PrimaryModule Cette valeur n’est pas utilisée. Windows Server 2003 et Windows XP/2000 : Cette valeur est le nom de la sous-clé qui contient les valeurs par défaut des entrées dans la sous-clé de la source de l’événement. Cette valeur est de type REG_SZ.
Rétention Cette valeur est de type REG_DWORD. La valeur par défaut est 0. Si cette valeur est 0, les enregistrements d’événements sont toujours remplacés. Si cette valeur est 0xFFFFFFFF ou n’importe quelle valeur différente de zéro, les enregistrements ne sont jamais remplacés. Lorsque le fichier journal atteint sa taille maximale, vous devez effacer le journal manuellement ; sinon, les nouveaux événements sont ignorés. Vous devez également effacer le journal avant de pouvoir modifier sa taille. Windows Server 2003 et Windows XP/2000 : Cette valeur est l’intervalle de temps, en secondes, pendant lequel les enregistrements d’événements sont protégés contre le remplacement. Lorsque l’âge d’un événement atteint ou dépasse cette valeur, il peut être remplacé.
Sources Cette valeur n'est pas utilisée. Windows Server 2003 et Windows XP/2000 : Noms des applications, services ou groupes d’applications qui écrivent des événements dans ce journal. Cette valeur doit uniquement être lue et non modifiée. Le service de journal des événements gère la liste en fonction de chaque programme répertorié dans une sous-clé sous le journal. Cette valeur est de type REG_MULTI_SZ.
AutoBackupLogFiles Cette valeur est de type REG_DWORD et est utilisée par le service de journal des événements pour déterminer si un journal des événements doit être enregistré automatiquement. La valeur par défaut est 0, ce qui désactive la sauvegarde automatique. Le service ne sauvegardera le fichier journal que si la valeur de rétention est -1 (0xFFFFFFFF). Les autres valeurs seront ignorées. Windows Server 2003 : La rétention peut être définie sur -1 (0xFFFFFFFF) ou 1 (0x00000001) pour que AutoBackupLogFiles fonctionne. Les autres valeurs seront ignorées.
RestrictGuestAccess Cette valeur n'est pas utilisée. Windows XP/2000 : Cette valeur est de type REG_DWORD et la valeur par défaut est 1. Lorsque la valeur est définie sur 1, elle limite l’accès au journal des événements du compte Invité et anonyme, et lorsque cette valeur est 0, elle autorise l’accès du compte Invité au journal des événements.
Isolement Définit les autorisations d’accès par défaut pour le journal. Cette valeur est de type REG_SZ. Vous pouvez spécifier l'une des valeurs suivantes :
  • Application
  • Système
  • Personnalisée
L’isolation par défaut est Application. Les autorisations par défaut pour Application sont (affichées à l’aide de SDDL) :
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read) 
Les autorisations par défaut pour Le système sont (affichées à l’aide de SDDL) :
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Les autorisations par défaut pour l’isolation personnalisée sont identiques à celles de l’application.
Windows Server 2003 et Windows XP/2000 : Cette valeur n’est pas disponible.

Chaque journal contient également des sources d’événements. Pour plus d’informations, consultez Sources d’événements.