Bagikan melalui

Kunci Eventlog

  • Artikel

Log peristiwa berisi log standar berikut serta log kustom:

Log Deskripsi
Aplikasi Berisi peristiwa yang dicatat oleh aplikasi. Misalnya, aplikasi database mungkin merekam kesalahan file. Pengembang aplikasi memutuskan peristiwa mana yang akan direkam.
Keamanan Berisi peristiwa seperti upaya masuk yang valid dan tidak valid, serta peristiwa yang terkait dengan penggunaan sumber daya seperti membuat, membuka, atau menghapus file atau objek lainnya. Administrator dapat mulai mengaudit untuk merekam peristiwa di log keamanan.
Sistem Berisi peristiwa yang dicatat oleh komponen sistem, seperti kegagalan driver atau komponen sistem lain untuk dimuat selama startup.
CustomLog Berisi peristiwa yang dicatat oleh aplikasi yang membuat log kustom. Menggunakan log kustom memungkinkan aplikasi mengontrol ukuran log atau melampirkan ACL untuk tujuan keamanan tanpa memengaruhi aplikasi lain.

Layanan pengelogan peristiwa menggunakan informasi yang disimpan di kunci registri Eventlog . Kunci Eventlog berisi beberapa subkey, yang disebut log. Setiap log berisi informasi yang digunakan layanan pengelogan peristiwa untuk menemukan sumber daya saat aplikasi menulis dan membaca dari log peristiwa.

Struktur kunci Eventlog adalah sebagai berikut:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Perhatikan bahwa pengendali domain merekam peristiwa di layanan Direktori dan log layanan Replikasi File dan server DNS merekam peristiwa di server DNS.

Setiap log dapat berisi nilai registri berikut.

Nilai registri Deskripsi
CustomSD Membatasi akses ke log peristiwa. Nilai ini berjenis REG_SZ. Format yang digunakan adalah Security Descriptor Definition Language (SDDL). Buat ACL yang memberikan satu atau beberapa hak berikut:
Bersihkan (0x0004)
Baca (0x0001)
Tulis (0x0002)
Untuk menjadi SDDL yang valid secara sintaksis, nilai CustomSD harus menentukan pemilik dan pemilik grup (misalnya, O:BAG:SY), tetapi pemilik dan pemilik grup tidak digunakan. Jika CustomSD diatur ke nilai yang salah, peristiwa diaktifkan di log peristiwa Sistem saat layanan log peristiwa dimulai, dan log peristiwa mendapatkan deskriptor keamanan default yang identik dengan nilai CustomSD asli untuk log Aplikasi. SACL tidak didukung.
Untuk informasi selengkapnya, lihat Keamanan Pengelogan Peristiwa.
Windows Server 2003: SACL didukung.
Windows XP/2000: Nilai ini tidak didukung.
DisplayNameFile Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nama file yang menyimpan nama log peristiwa yang dilokalkan. Nama yang disimpan dalam file ini muncul sebagai nama log di Pemantau Peristiwa. Jika entri ini tidak muncul di registri untuk log peristiwa, Pemantau Peristiwa menampilkan nama subkunci registri sebagai nama log. Nilai ini berjenis REG_EXPAND_SZ. Nilai defaultnya adalah %SystemRoot%\system32\els.dll.
DisplayNameID Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nomor identifikasi pesan dari string nama log. Angka ini menunjukkan pesan di mana nama tampilan yang dilokalkan muncul. Pesan disimpan dalam file yang ditentukan oleh nilai DisplayNameFile . Nilai ini berjenis REG_DWORD.
File Jalur yang sepenuhnya memenuhi syarat ke file tempat setiap log peristiwa disimpan. Ini memungkinkan Pemantau Peristiwa dan aplikasi lain untuk menemukan file log. Nilai ini berjenis REG_SZ atau REG_EXPAND_SZ. Nilai ini opsional. Jika nilai tidak ditentukan, nilai defaultnya adalah %SystemRoot%\system32\winevt\logs\ diikuti dengan nama file yang didasarkan pada nama kunci registri log kejadian. Jalur file log peristiwa tertentu harus diatur menggunakan utilitas baris perintah wevtutil.exe atau dengan menggunakan fungsi EvtSetChannelConfigProperty dengan EvtChannelLoggingConfigLogFilePath yang diteruskan ke parameter PropertyId .
Jika file tertentu diatur, pastikan bahwa layanan log peristiwa memiliki izin penuh pada file.
Nilai ini harus berupa nama file yang valid untuk file yang terletak di direktori lokal (bukan komputer jarak jauh, bukan perangkat DOS, bukan floppy, dan bukan pipa). Jika pengaturan file salah, peristiwa diaktifkan di log peristiwa Sistem saat layanan log peristiwa dimulai.
Jangan gunakan variabel lingkungan, di jalur ke file, yang tidak dapat diperluas dalam konteks layanan log peristiwa.
Windows Server 2003 dan Windows XP/2000: Nilai ini default ke %SystemRoot%\system32\config\ diikuti dengan nama file yang didasarkan pada nama kunci registri log kejadian. Jika pengaturan File diatur ke nilai yang tidak valid, log tidak akan diinisialisasi dengan benar, atau semua permintaan akan masuk secara diam-diam ke log default (Aplikasi).
MaxSize Ukuran maksimum, dalam byte, dari file log. Nilai ini berjenis REG_DWORD. Nilai harus diatur ke kelipatan 64K untuk log Sistem, Aplikasi, atau Keamanan. Nilai defaultnya adalah 1MB. Windows Server 2003 dan Windows XP/2000: Nilainya terbatas pada 0xFFFFFFFF, dan nilai defaultnya adalah 512K.
PrimaryModule Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nilai ini adalah nama subkuntang yang berisi nilai default untuk entri dalam subkuntang untuk sumber peristiwa. Nilai ini berjenis REG_SZ.
Retensi Nilai ini berjenis REG_DWORD. Nilai default adalah 0. Jika nilai ini adalah 0, rekaman peristiwa selalu ditimpa. Jika nilai ini 0xFFFFFFFF atau nilai bukan nol, rekaman tidak pernah ditimpa. Ketika file log mencapai ukuran maksimumnya, Anda harus menghapus log secara manual; jika tidak, peristiwa baru akan dibuang. Anda juga harus menghapus log sebelum dapat mengubah ukurannya. Windows Server 2003 dan Windows XP/2000: Nilai ini adalah interval waktu, dalam hitungan detik, bahwa rekaman peristiwa dilindungi agar tidak ditimpa. Ketika usia peristiwa mencapai atau melebihi nilai ini, itu dapat ditimpa.
Sumber Nilai ini tidak digunakan. Windows Server 2003 dan Windows XP/2000: Nama aplikasi, layanan, atau grup aplikasi yang menulis peristiwa ke log ini. Nilai ini hanya boleh dibaca dan tidak diubah. Layanan log peristiwa mempertahankan daftar berdasarkan setiap program yang tercantum dalam subkunji di bawah log. Nilai ini berjenis REG_MULTI_SZ.
AutoBackupLogFiles Nilai ini berjenis REG_DWORD, dan digunakan oleh layanan log peristiwa untuk menentukan apakah log peristiwa harus disimpan secara otomatis. Nilai defaultnya adalah 0, yang menonaktifkan pencadangan otomatis. Layanan akan mencadangkan file log hanya jika nilai retensi adalah -1 (0xFFFFFFFF). Nilai lain akan diabaikan. Windows Server 2003: Retensi dapat diatur ke -1 (0xFFFFFFFF) atau 1 (0x00000001) agar AutoBackupLogFiles berfungsi. Nilai lain akan diabaikan.
RestrictGuestAccess Nilai ini tidak digunakan. Windows XP/2000: Nilai ini berjenis REG_DWORD, dan nilai defaultnya adalah 1. Ketika nilai diatur ke 1, nilai membatasi akses akun Tamu dan Anonim ke log peristiwa, dan ketika nilai ini adalah 0, nilai ini memungkinkan akses akun Tamu ke log peristiwa.
Isolasi Menentukan izin akses default untuk log. Nilai ini berjenis REG_SZ. Anda dapat menentukan satu atau beberapa nilai berikut:
  • Aplikasi
  • Sistem
  • Kustom
Isolasi default adalah Aplikasi. Izin default untuk Aplikasi adalah (ditampilkan menggunakan SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Izin default untuk Sistem (ditampilkan menggunakan SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Izin default untuk Isolasi kustom sama dengan Aplikasi.
Windows Server 2003 dan Windows XP/2000: Nilai ini tidak tersedia.

Setiap log juga berisi sumber peristiwa. Untuk informasi selengkapnya, lihat Sumber Peristiwa.