Riepilogo della tecnologia per la lettura e la gestione di registri eventi

Articolo
09/01/2008

I registri eventi consentono alle applicazioni di registrare informazioni, avvisi ed errori in modo che gli amministratori di sistema, il personale di supporto, gli strumenti oppure gli utenti finali siano in grado di monitorare lo stato e le azioni dell'applicazione. spazio dei nomi spazio dei nomi System.Diagnostics.Eventing.Reader consente di recuperare informazioni da eventi, registri eventi e applicazioni che registrano gli eventi (provider di eventi) nonché di configurare le proprietà dei registri eventi. Tali classi possono essere utilizzate unicamente sui computer con sistema operativo Windows Vista o Windows Server 2008. Per un elenco degli scenari di utilizzo delle classi dei registri eventi, vedere Scenari di registri eventi. Per ulteriori informazioni sull'accesso ai dati sui registri eventi in Windows Server 2003, Windows XP o Windows 2000, vedere https://go.microsoft.com/fwlink/?LinkId=99047.

Eventi

Ciascun evento contiene un messaggio informativo, di avviso o di errore. Gli eventi contengono inoltre proprietà quali il livello (gravità) dell'evento, il nome del provider di eventi che ha registrato l'evento e l'ora di registrazione dell'evento e sono rappresentati da oggetti EventLogRecord; per un elenco completo delle proprietà eventi, visualizzare i membri della classe EventLogRecord.

Ogni evento può essere rappresentato nel formato XML, con le proprietà e il messaggio definiti negli elementi XML. Per recuperare l'XML eventi, utilizzare il metodo ToXml. Per ulteriori informazioni sugli eventi e sull'XML eventi, vedere https://go.microsoft.com/fwlink/?LinkID=94642 e Query eventi e XML eventi (informazioni in lingua inglese).

Per ottenere un messaggio di evento, utilizzare il metodo FormatDescription. Per ulteriori informazioni e un esempio di codice, vedere Procedura: eseguire query per eventi.

Esistono quattro tipi di eventi diversi definiti dall'enumerazione EventLogType. Ciascun tipo di evento è destinato a un tipo di utente diverso. I tipi di evento più comuni sono quelli operativi e amministrativi.

Registri eventi

I registri eventi contengono eventi correlati di un unico tipo. Possono essere salvati (archiviati) in file evtx, sui quali sarà possibile eseguire operazioni di lettura o di query a livello di programmazione o mediante lo strumento Visualizzatore eventi. I log di Windows sono destinati all'archiviazione degli eventi delle applicazioni legacy (applicazioni progettate per Windows XP, Windows Server 2003 o Windows 2000) e degli eventi che si applicano all'intero sistema.

Log di Windows	Descrizione
Applicazione	Il registro applicazioni contiene gli eventi registrati dalle applicazioni o dai programmi. Un programma di database, ad esempio, potrebbe registrare un errore dei file nel registro applicazioni. Gli eventi da registrare vengono definiti dagli sviluppatori del programma.
Protezione	Il registro protezione contiene eventi quali i tentativi di accesso validi e non validi nonché gli eventi relativi all'utilizzo delle risorse, ad esempio la creazione, l'apertura oppure l'eliminazione di file o altri oggetti. Gli amministratori possono specificare quali eventi registrare nel registro protezione. Se, ad esempio, è stato attivato il controllo dell'accesso, nel registro protezione verranno registrati i tentativi di accesso al sistema.
Sistema	Il Registro di sistema contiene gli eventi registrati dai componenti di sistema di Windows. Nel registro di sistema, ad esempio, viene registrato l'errore nel caricamento di un driver o di un altro componente di sistema durante l'avvio. I tipi di evento registrati dai componenti del sistema sono predefiniti da Windows.
Installazione	Il log dell'installazione contiene gli eventi relativi all'installazione dell'applicazione.
Eventi inoltrati	Il log degli eventi inoltrati viene utilizzato per memorizzare gli eventi raccolti dai computer remoti.

I log delle applicazioni e dei servizi rappresentano categorie diverse di registri eventi rispetto ai log di Windows. Nei primi, infatti, vengono registrati gli eventi di una singola applicazione o componente piuttosto che gli eventi che potrebbero avere un impatto sull'intero sistema. I nomi di questi log sono molteplici e vengono definiti dai provider di eventi. I registri eventi che rientrano in questa categoria sono numerosi. Per individuare i registri eventi disponibili, utilizzare gli strumenti descritti nella sezione Strumenti.

I registri eventi della categoria applicazioni e servizi sono suddivisi nei quattro tipi definiti dall'enumerazione EventLogType: amministrativi, operativi, analitici e di debug. Gli eventi dei log di tipo amministrativo sono particolarmente interessanti per i professionisti IT che utilizzano il Visualizzatore eventi per la risoluzione dei problemi e offrono informazioni sulle modalità di risposta agli eventi stessi. Anche gli eventi dei log di tipo operativo sono utili per i professionisti IT, tuttavia è probabile che richiedano una maggiore capacità di interpretazione.

I registri eventi di tipo analitico e di debug non sono descrittivi. Nei primi vengono memorizzati eventi che analizzano un problema e spesso il volume di eventi registrati è elevato. I log di debug vengono utilizzati dagli sviluppatori durante il debug delle applicazioni. Entrambi i tipi di log sono nascosti e disattivati per impostazione predefinita.

Per raccogliere informazioni su un registro eventi, utilizzare la classe EventLogInformation. Per configurare le proprietà dei registri eventi, utilizzare la classe EventLogConfiguration. Ogni registro eventi contiene una proprietà SecurityDescriptor che determina gli utenti in grado di leggere e accedere al registro. Ogni log, inoltre, dispone di una proprietà che controlla la dimensione massima del log (la proprietà MaximumSizeInBytes) e di una proprietà che controlla il modo in cui vengono gestiti gli eventi quando il log diventa pieno (la proprietà LogMode). Per ulteriori informazioni sulla configurazione dei registri eventi, vedere Procedura: configurare e leggere le proprietà del registro eventi.

Provider di eventi

Le applicazioni in grado di registrare un evento vengono denominate provider di eventi. Esse consentono di identificare i registri eventi nei quali è possibile pubblicare gli eventi e di definire gli eventi che possono essere pubblicati. Ciascun provider di eventi è identificato in modo univoco da un nome e da un GUID (Globally Unique Identifier). Per raccogliere informazioni su un provider di eventi, utilizzare la classe ProviderMetadata. La proprietà Events di tale classe ottiene un insieme di tutti gli eventi che il provider può pubblicare. Questi oggetti evento sono definiti dalla classe EventMetadata. Per ulteriori informazioni sull'accesso ai dati dei provider di eventi, vedere Procedura: recuperare informazioni su un provider di eventi.

Non è possibile creare un provider di eventi utilizzando le classi dello spazio dei nomi System.Diagnostics.Eventing.Reader. Per ulteriori informazioni sulla creazione di un provider di eventi, vedere l'articolo relativo allo sviluppo di provider di eventi (informazioni in lingua inglese).

Strumenti

Per accedere alle informazioni dei registri eventi dalla riga di comando, utilizzare lo strumento WevtUtil.exe, che si trova nella directory %SystemRoot%\System32. Per la Guida dello strumento WevtUtil.exe, utilizzare il comando wevtutil /?.

Per accedere alle informazioni sui registri eventi da un'interfaccia utente grafica, utilizzare lo strumento Visualizzatore eventi. Visualizzatore eventi è uno snap-in MMC (Microsoft Management Console) che consente agli utenti di cercare e gestire i registri eventi. Inoltre, è utile per il test delle applicazioni che utilizzano le funzioni dei registri eventi. Per ulteriori informazioni sull'utilizzo o sull'avvio dello strumento Visualizzatore eventi, vedere l'articolo relativo ai cenni preliminari sullo strumento Visualizzatore eventi (informazioni in lingua inglese).