Sources de l’événement

  • Article

Chaque journal dans la clé Eventlog contient des sous-clés appelées sources d’événements. La source de l’événement est le nom du logiciel qui enregistre l’événement. Il s’agit souvent du nom de l’application ou du nom d’un sous-composant de l’application si l’application est volumineuse. Vous pouvez ajouter un maximum de 16 384 sources d’événements au Registre. Le journal de sécurité est destiné uniquement au système. Les pilotes de périphérique doivent ajouter leurs noms au journal système . Les applications et les services doivent ajouter leur nom au journal des applications ou créer un journal personnalisé.

La structure des sources d’événements est la suivante :

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

Vous ne pouvez pas utiliser un nom de source qui a déjà été utilisé comme nom de journal. En outre, les noms de source ne peuvent pas être hiérarchiques ; autrement dit, ils ne peuvent pas contenir le caractère de barre oblique inverse (« \ »).

Chaque source d’événement contient des informations (telles qu’un fichier de message) spécifiques au logiciel qui journalisera les événements, comme indiqué dans le tableau suivant.

Valeur de Registre Description
CategoryCount Nombre de catégories d’événements prises en charge. Cette valeur est de type REG_DWORD.
CategoryMessageFile Chemin d’accès au fichier de message de catégorie. Un fichier de message de catégorie contient des chaînes dépendantes de la langue qui décrivent les catégories. Cette valeur peut être de type REG_SZ ou REG_EXPAND_SZ.
EventMessageFile Chemin d’accès à un ou plusieurs fichiers de messages d’événement ; utiliser un point-virgule pour délimiter plusieurs fichiers. Un fichier de message d’événement contient des chaînes dépendantes de la langue qui décrivent les événements. Cette valeur peut être de type REG_SZ ou REG_EXPAND_SZ.
ParameterMessageFile Chemin d’accès au fichier de message de paramètre. Un fichier de message de paramètre contient des chaînes indépendantes de la langue qui doivent être insérées dans les chaînes de description de l’événement. Cette valeur peut être de type REG_SZ ou REG_EXPAND_SZ.
TypesSupported Masque de bits des types pris en charge. Cette valeur est de type REG_DWORD. Il peut s’agir d’une ou plusieurs des valeurs suivantes :
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

 

Lorsqu’une application utilise la fonction RegisterEventSource ou OpenEventLog pour obtenir un handle dans un journal des événements, le service de journalisation des événements recherche la source d’événements spécifiée dans le Registre. Par exemple, le journal des applications peut contenir des sources d’événements pour Microsoft SQL Server et Microsoft Excel. Si une application utilise RegisterEventSource ou OpenEventLog avec un nom source Application, SQL ou Excel, le service de journalisation des événements retourne un handle au journal des applications .

Une application peut utiliser le journal des applications sans ajouter de nouvelle source d’événement au Registre. Si l’application appelle RegisterEventSource et transmet un nom de source introuvable dans le Registre, le service de journalisation des événements utilise le journal des applications par défaut. Toutefois, étant donné qu’il n’existe aucun fichier de message, le observateur d'événements ne peut pas mapper des identificateurs d’événements ou des catégories d’événements à une chaîne de description et affiche une erreur. Pour cette raison, vous devez ajouter une source d’événement unique au Registre pour votre application et spécifier un fichier de message.