Поделиться через


Ключ журнала событий

Журнал событий содержит следующие стандартные журналы, а также пользовательские журналы:

Журнал Описание
Приложение Содержит события, зарегистрированные приложениями. Например, приложение базы данных может записать ошибку файла. Разработчик приложения решает, какие события записывать.
Безопасность Содержит события, такие как допустимые и недопустимые попытки входа, а также события, связанные с использованием ресурсов, например создание, открытие или удаление файлов или других объектов. Администратор может начать аудит для записи событий в журнал безопасности.
Системные функции Содержит события, зарегистрированные системными компонентами, например сбой драйвера или другого системного компонента для загрузки во время запуска.
CustomLog Содержит события, регистрируемые приложениями, создающими пользовательский журнал. Использование пользовательского журнала позволяет приложению управлять размером журнала или присоединять списки управления доступом в целях безопасности, не затрагивая другие приложения.

Служба ведения журнала событий использует сведения, хранящиеся в разделе реестра журнала событий . Ключ журнала событий содержит несколько подразделов, называемых журналами. Каждый журнал содержит сведения, которые служба ведения журнала событий использует для поиска ресурсов, когда приложение записывает данные в журнал событий и считывает их из журнала событий.

Структура ключа журнала событий выглядит следующим образом:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Обратите внимание, что контроллеры домена записывают события в журналы службы каталогов и службы репликации файлов , а DNS-серверы записывают события на DNS-сервере.

Каждый журнал может содержать следующие значения реестра.

Значение реестра Описание
CustomSD Ограничивает доступ к журналу событий. Это значение имеет тип REG_SZ. Используется формат ЯЗЫКА определения дескриптора безопасности (SDDL). Создайте ACL, который предоставляет одно или несколько из следующих прав:
Очистить (0x0004)
Чтение (0x0001)
Запись (0x0002)
Чтобы быть синтаксически допустимым SDDL, значение CustomSD должно указывать владельца и владельца группы (например, O:BAG:SY), но владелец и владелец группы не используются. Если для CustomSD задано неправильное значение, то при запуске службы журналов событий системы в журнале событий возникает событие, а журнал событий получает дескриптор безопасности по умолчанию, идентичный исходному значению CustomSD для журнала приложений. Списки SACL не поддерживаются.
Дополнительные сведения см. в разделе Безопасность ведения журнала событий.
Windows Server 2003: Поддерживаются списки SACCL.
Windows XP/2000: Это значение не поддерживается.

DisplayNameFile Это значение не используется. Windows Server 2003 и Windows XP/2000: Имя файла, в котором хранится локализованное имя журнала событий. Имя, хранящееся в этом файле, отображается в качестве имени журнала в Просмотр событий. Если эта запись не отображается в реестре для журнала событий, Просмотр событий отображает имя подраздела реестра в качестве имени журнала. Это значение имеет тип REG_EXPAND_SZ. Значение по умолчанию — %SystemRoot%\system32\els.dll.
DisplayNameID Это значение не используется. Windows Server 2003 и Windows XP/2000: Идентификационный номер сообщения строки имени журнала. Это число указывает сообщение, в котором отображается локализованное отображаемое имя. Сообщение хранится в файле, указанном значением DisplayNameFile . Это значение имеет тип REG_DWORD.
Файл Полный путь к файлу, в котором хранится каждый журнал событий. Это позволяет Просмотр событий и другим приложениям находить файлы журнала. Это значение имеет тип REG_SZ или REG_EXPAND_SZ. Это необязательное значение. Если значение не указано, по умолчанию используется %SystemRoot%\system32\winevt\logs\, за которым следует имя файла, основанное на имени раздела реестра журнала событий. Конкретный путь к файлу журнала событий следует задать с помощью служебной программы командной строки wevtutil.exe или с помощью функции EvtSetChannelConfigProperty с evtChannelLoggingConfigLogFilePath, переданной в параметр PropertyId .
Если задан определенный файл, убедитесь, что служба журнала событий имеет полные разрешения на доступ к файлу.
Это значение должно быть допустимым именем файла, расположенного в локальном каталоге (не на удаленном компьютере, на устройстве DOS, на диске и в канале). Если параметр файла неправильный, событие запускается в системном журнале событий при запуске службы журнала событий.
Не используйте переменные среды в пути к файлу, которые нельзя развернуть в контексте службы журнала событий.
Windows Server 2003 и Windows XP/2000: Это значение по умолчанию равно %SystemRoot%\system32\config\, за которым следует имя файла, основанное на имени раздела реестра журнала событий. Если для параметра Файл задано недопустимое значение, журнал либо не будет инициализирован должным образом, либо все запросы будут автоматически отправляться в журнал по умолчанию (приложение).
Maxsize Максимальный размер файла журнала в байтах. Это значение имеет тип REG_DWORD. Для журнала системы, приложения или безопасности необходимо задать значение, кратное 64 КБ. Значение по умолчанию — 1 МБ. Windows Server 2003 и Windows XP/2000: Значение ограничено 0xFFFFFFFF, а значение по умолчанию — 512 КБ.
PrimaryModule Это значение не используется. Windows Server 2003 и Windows XP/2000: Это значение является именем подраздела, содержащего значения по умолчанию для записей в подразделе для источника события. Это значение имеет тип REG_SZ.
Сохранение Это значение имеет тип REG_DWORD. Значение по умолчанию — 0. Если это значение равно 0, записи событий всегда перезаписываются. Если это значение 0xFFFFFFFF или любое ненулевое значение, записи никогда не перезаписываются. Когда файл журнала достигает максимального размера, его необходимо очистить вручную. в противном случае новые события удаляются. Кроме того, необходимо очистить журнал, прежде чем можно будет изменить его размер. Windows Server 2003 и Windows XP/2000: Это значение является интервалом времени в секундах, в течение которых записи событий защищены от перезаписи. Когда возраст события достигает этого значения или превышает его, его можно перезаписать.
Источники Это значение не используется. Windows Server 2003 и Windows XP/2000: Имена приложений, служб или групп приложений, которые записывают события в этот журнал. Это значение должно быть только считано и не изменено. Служба журнала событий поддерживает список на основе каждой программы, указанной в подразделе журнала. Это значение имеет тип REG_MULTI_SZ.
AutoBackupLogFiles Это значение имеет тип REG_DWORD и используется службой журнала событий для определения необходимости автоматического сохранения журнала событий. Значение по умолчанию — 0, что отключает автоматическое резервное копирование. Служба создаст резервную копию файла журнала, только если значение хранения равно -1 (0xFFFFFFFF). Другие значения будут игнорироваться. Windows Server 2003: Для работы AutoBackupLogFiles можно задать значение -1 (0xFFFFFFFF) или 1 (0x00000001). Другие значения будут игнорироваться.
RestrictGuestAccess Это значение не используется. Windows XP/2000: Это значение относится к типу REG_DWORD, а значение по умолчанию — 1. Если задано значение 1, это ограничивает доступ гостевых и анонимных учетных записей к журналу событий, а если это значение равно 0, это разрешает гостевой учетной записи доступ к журналу событий.
Изоляция Определяет разрешения на доступ по умолчанию для журнала. Это значение имеет тип REG_SZ. Можно указать одно из следующих значений.
  • Приложение
  • Системные функции
  • Custom
Изоляция по умолчанию — Application. Разрешения по умолчанию для приложения : (показаны с помощью SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read) 
Разрешения по умолчанию для System (показаны с помощью SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Разрешения по умолчанию для пользовательской изоляции совпадают с разрешениями приложения.
Windows Server 2003 и Windows XP/2000: Это значение недоступно.

Каждый журнал также содержит источники событий. Дополнительные сведения см. в разделе Источники событий.