Bagikan melalui

Kunci Eventlog

Nota

API Pengelogan Peristiwa dirancang untuk aplikasi yang berjalan pada sistem operasi Windows Server 2003, Windows XP, atau Windows 2000. Di Windows Vista, infrastruktur pengelogan peristiwa didesain ulang. Aplikasi yang dirancang untuk berjalan pada Windows Vista atau sistem operasi yang lebih baru sekarang harus menggunakan Log Peristiwa Windows.

Log peristiwa berisi log standar berikut serta log kustom:

Batang Deskripsi
Aplikasi Berisi peristiwa yang dicatat oleh aplikasi. Misalnya, aplikasi database mungkin merekam kesalahan file. Pengembang aplikasi memutuskan peristiwa mana yang akan direkam.
Keamanan Berisi peristiwa seperti upaya masuk yang valid dan tidak valid, serta peristiwa yang terkait dengan penggunaan sumber daya seperti membuat, membuka, atau menghapus file atau objek lainnya. Administrator dapat mulai mengaudit untuk merekam peristiwa di log keamanan.
Sistem Berisi peristiwa yang dicatat oleh komponen sistem, seperti kegagalan driver atau komponen sistem lain untuk dimuat selama startup.
CustomLog Berisi peristiwa yang dicatat oleh aplikasi yang membuat log kustom. Menggunakan log kustom memungkinkan aplikasi mengontrol ukuran log atau melampirkan ACL untuk tujuan keamanan tanpa memengaruhi aplikasi lain.

Layanan pengelogan peristiwa menggunakan informasi yang disimpan di kunci registri Eventlog. Kunci Eventlog berisi beberapa subkunci, yang disebut log . Setiap log berisi informasi yang digunakan layanan pengelogan peristiwa untuk menemukan sumber daya saat aplikasi menulis dan membaca dari log peristiwa.

Struktur kunci Eventlog adalah sebagai berikut:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Perhatikan bahwa pengontrol domain merekam peristiwa di layanan Direktori dan log layanan Replikasi File dan server DNS merekam peristiwa di server DNS .

Setiap log dapat berisi nilai registri berikut.

Nilai registri Deskripsi
CustomSD Membatasi akses ke log peristiwa. Nilai ini berjenis REG_SZ. Format yang digunakan adalah Bahasa Definisi Deskriptor Keamanan (SDDL). Buat ACL yang memberikan satu atau beberapa hak berikut:
Bersihkan (0x0004)
Baca (0x0001)
Tulis (0x0002)
Untuk menjadi SDDL yang valid secara sintetis, nilai CustomSD harus menentukan pemilik dan pemilik grup (misalnya, O:BAG:SY), tetapi pemilik dan pemilik grup tidak digunakan. Jika CustomSD diatur ke nilai yang salah, peristiwa diaktifkan di log peristiwa Sistem saat layanan log peristiwa dimulai, dan log peristiwa mendapatkan deskriptor keamanan default yang identik dengan nilai CustomSD asli untuk log Aplikasi. SACL tidak didukung.
Untuk informasi selengkapnya, lihat Keamanan Pengelogan Peristiwa.
DisplayNameFile Nilai ini tidak digunakan.
DisplayNameID Nilai ini tidak digunakan.
File Jalur yang sepenuhnya memenuhi syarat ke file tempat setiap log peristiwa disimpan. Ini memungkinkan Penampil Peristiwa dan aplikasi lain untuk menemukan file log. Nilai ini berjenis REG_SZ atau REG_EXPAND_SZ. Nilai ini bersifat opsional. Jika nilai tidak ditentukan, nilai defaultnya ke %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe atau dengan menggunakan fungsiEvtSetChannelConfigProperty dengan EvtChannelLoggingConfigLogFilePath yang diteruskan ke parameter PropertyId.
Jika file tertentu diatur, pastikan bahwa layanan log peristiwa memiliki izin penuh pada file.
Nilai ini harus berupa nama file yang valid untuk file yang terletak di direktori lokal (bukan komputer jarak jauh, bukan perangkat DOS, bukan floppy, dan bukan pipa). Jika pengaturan file salah, peristiwa diaktifkan di log peristiwa Sistem saat layanan log peristiwa dimulai.
Jangan gunakan variabel lingkungan, di jalur ke file, yang tidak dapat diperluas dalam konteks layanan log peristiwa.
MaxSize Ukuran maksimum, dalam byte, dari file log. Nilai ini berjenis REG_DWORD. Nilai harus diatur ke kelipatan 64K untuk log Sistem, Aplikasi, atau Keamanan. Nilai defaultnya adalah 1MB.
PrimaryModule Nilai ini tidak digunakan.
Retensi Nilai ini berjenis REG_DWORD. Nilai defaultnya adalah 0. Jika nilai ini adalah 0, rekaman peristiwa selalu ditimpa. Jika nilai ini 0xFFFFFFFF atau nilai bukan nol, rekaman tidak pernah ditimpa. Ketika file log mencapai ukuran maksimumnya, Anda harus menghapus log secara manual; jika tidak, peristiwa baru dibuang. Anda juga harus menghapus log sebelum dapat mengubah ukurannya.
Sumber Nilai ini tidak digunakan.
AutoBackupLogFiles Nilai ini berjenis REG_DWORD, dan digunakan oleh layanan log peristiwa untuk menentukan apakah log peristiwa harus disimpan secara otomatis. Nilai defaultnya adalah 0, yang menonaktifkan pencadangan otomatis. Layanan akan mencadangkan file log hanya jika nilai retensi -1 (0xFFFFFFFF). Nilai lain akan diabaikan.Windows Server 2003: Retensi dapat diatur ke -1 (0xFFFFFFFF) atau 1 (0x00000001) agar AutoBackupLogFiles berfungsi. Nilai lain akan diabaikan.
RestrictGuestAccess Nilai ini tidak digunakan.
Isolasi Menentukan izin akses default untuk log. Nilai ini berjenis REG_SZ. Anda dapat menentukan salah satu nilai berikut:
  • Aplikasi
  • Sistem
  • Kustom
Isolasi default adalah Aplikasi . Izin default untuk Aplikasi (ditampilkan menggunakan SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Izin default untuk Sistem (ditampilkan menggunakan SDDL): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Izin default untuk isolasi Kustom sama dengan Aplikasi.

Setiap log juga berisi sumber peristiwa. Untuk informasi selengkapnya, lihat Sumber Peristiwa.

  • Last updated on