이벤트 원본

  • 아티클

Eventlog 키의 각 로그에는 이벤트 원본이라는 하위 키가 포함됩니다. 이벤트 원본은 이벤트를 기록하는 소프트웨어의 이름입니다. 해당 경우가 애플리케이션의 이름 또는 애플리케이션의 하위 구성 요소 이름 애플리케이션이 큰 경우입니다. 레지스트리에 최대 16,384개의 이벤트 원본을 추가할 수 있습니다. 보안 로그는 시스템 전용입니다. 디바이스 드라이버는 시스템 로그에 이름을 추가해야 합니다. 애플리케이션 및 서비스는 애플리케이션 로그에 이름을 추가하거나 사용자 지정 로그를 만들어야 합니다.

이벤트 원본의 구조는 다음과 같습니다.

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

이미 로그 이름으로 사용된 원본 이름은 사용할 수 없습니다. 또한 원본 이름은 계층적일 수 없습니다. 즉, 백슬래시 문자("\")를 포함할 수 없습니다.

각 이벤트 원본에는 다음 표와 같이 이벤트를 로깅할 소프트웨어와 관련된 정보(예: 메시지 파일)가 포함되어 있습니다.

레지스트리 값 Description
CategoryCount 지원되는 이벤트 범주 수입니다. 이 값은 REG_DWORD 형식입니다.
CategoryMessageFile 범주 메시지 파일의 경로입니다. 범주 메시지 파일에는 범주를 설명하는 언어 종속 문자열이 포함되어 있습니다. 이 값은 REG_SZ 또는 REG_EXPAND_SZ 형식일 수 있습니다.
EventMessageFile 하나 이상의 이벤트 메시지 파일 경로; 세미콜론을 사용하여 여러 파일을 구분합니다. 이벤트 메시지 파일에는 이벤트를 설명하는 언어 종속 문자열이 포함되어 있습니다. 이 값은 REG_SZ 또는 REG_EXPAND_SZ 형식일 수 있습니다.
ParameterMessageFile 매개 변수 메시지 파일의 경로입니다. 매개 변수 메시지 파일에는 이벤트 설명 문자열에 삽입할 언어 독립적 문자열이 포함되어 있습니다. 이 값은 REG_SZ 또는 REG_EXPAND_SZ 형식일 수 있습니다.
TypesSupported 지원되는 형식의 비트 마스크입니다. 이 값은 REG_DWORD 형식입니다. 다음 값 중 하나 이상이 될 수 있습니다.
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

 

애플리케이션에서 RegisterEventSource 또는 OpenEventLog 함수를 사용하여 이벤트 로그에 대한 핸들을 가져오는 경우 이벤트 로깅 서비스는 레지스트리에서 지정된 이벤트 원본을 검색합니다. 예를 들어 애플리케이션 로그에는 Microsoft SQL Server 및 Microsoft Excel에 대한 이벤트 원본이 포함될 수 있습니다. 애플리케이션이 Application, SQL 또는 Excel의 원본 이름으로 RegisterEventSource 또는 OpenEventLog 를 사용하는 경우 이벤트 로깅 서비스는 애플리케이션 로그에 대한 핸들을 반환합니다.

애플리케이션은 레지스트리에 새 이벤트 원본을 추가하지 않고 애플리케이션 로그를 사용할 수 있습니다. 애플리케이션이 RegisterEventSource 를 호출하고 레지스트리에서 찾을 수 없는 원본 이름을 전달하는 경우 이벤트 로깅 서비스는 기본적으로 애플리케이션 로그를 사용합니다. 그러나 메시지 파일이 없으므로 이벤트 뷰어 이벤트 식별자 또는 이벤트 범주를 설명 문자열에 매핑할 수 없으며 오류가 표시됩니다. 이러한 이유로 애플리케이션의 레지스트리에 고유한 이벤트 원본을 추가하고 메시지 파일을 지정해야 합니다.