Aracılığıyla paylaş

Eventlog Anahtarı

Uyarı

Olay Günlüğü API'si, Windows Server 2003, Windows XP veya Windows 2000 işletim sisteminde çalışan uygulamalar için tasarlanmıştır. Windows Vista'da olay günlüğü altyapısı yeniden tasarlandı. Windows Vista veya sonraki işletim sistemlerinde çalışacak şekilde tasarlanmış uygulamalar artık Windows Olay Günlüğü'nü kullanmalıdır.

Olay günlüğü, özel günlüklerin yanı sıra aşağıdaki standart günlükleri içerir:

Kütük Açıklama
uygulama Uygulamalar tarafından günlüğe kaydedilen olayları içerir. Örneğin, veritabanı uygulaması bir dosya hatası kaydedebilir. Hangi olayların kaydedileceğine uygulama geliştiricisi karar verir.
Güvenlik Geçerli ve geçersiz oturum açma girişimleri gibi olayların yanı sıra dosya veya diğer nesneleri oluşturma, açma veya silme gibi kaynak kullanımıyla ilgili olayları içerir. Bir yönetici güvenlik günlüğüne olayları kaydetmek için denetimi başlatabilir.
sistem Bir sürücünün veya başka bir sistem bileşeninin başlatma sırasında yüklenememesi gibi sistem bileşenleri tarafından günlüğe kaydedilen olayları içerir.
CustomLog Özel günlük oluşturan uygulamalar tarafından günlüğe kaydedilen olayları içerir. Özel günlük kullanmak, uygulamanın günlüğün boyutunu denetlemesine veya diğer uygulamaları etkilemeden güvenlik amacıyla ACL'ler eklemesine olanak tanır.

Olay günlüğü hizmeti, Eventlog kayıt defteri anahtarında depolanan bilgileri kullanır. Eventlog anahtarı, günlükleri olarak adlandırılan birkaç alt anahtar içerir. Her günlük, olay günlüğü hizmetinin bir uygulama olay günlüğüne yazdığında ve olay günlüğünden okuduğunda kaynakları bulmak için kullandığı bilgileri içerir.

Eventlog anahtarının yapısı aşağıdaki gibidir:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Etki alanı denetleyicilerinin olayları Dizin hizmeti ve Dosya Çoğaltma hizmeti günlüklerinin ve DNS sunucularının DNS sunucusuolayları kaydettiğini unutmayın.

Her günlük aşağıdaki kayıt defteri değerlerini içerebilir.

Kayıt defteri değeri Açıklama
CustomSD Olay günlüğüne erişimi kısıtlar. Bu değer REG_SZ türündedir. Kullanılan biçim, Güvenlik Tanımlayıcısı Tanım Dili (SDDL). Aşağıdaki haklardan birini veya daha fazlasını veren bir ACL oluşturma:
Temizle (0x0004)
Okuma (0x0001)
Yazma (0x0002)
Bozulmadan geçerli bir SDDL olması için CustomSD değerinin bir sahip ve bir grup sahibi (örneğin, O:BAG:SY) belirtmesi gerekir, ancak sahip ve grup sahibi kullanılmaz. CustomSD yanlış bir değere ayarlanırsa, olay günlüğü hizmeti başlatıldığında Sistem olay günlüğünde bir olay tetiklenir ve olay günlüğü, Uygulama günlüğü için özgün CustomSD değeriyle aynı olan varsayılan bir güvenlik tanımlayıcısı alır. SACL'ler desteklenmez.
Daha fazla bilgi için bkz. olay günlüğü güvenliği .
DisplayNameFile Bu değer kullanılmaz.
DisplayNameID Bu değer kullanılmaz.
dosya Her olay günlüğünün depolandığı dosyanın tam yolu. Bu, Olay Görüntüleyicisi'nin ve diğer uygulamaların günlük dosyalarını bulmasını sağlar. Bu değer REG_SZ veya REG_EXPAND_SZ türündedir. Bu değer isteğe bağlıdır. Değer belirtilmezse, varsayılan olarak %SystemRoot%\system32\winevt\logs\ followed by a file name that is based on the event log registry key name.The specific event log file path should be set using the command line utility wevtutil.exe olarak veya PropertyId parametresine geçirilen EvtChannelLoggingConfigLogFilePath ile EvtSetChannelConfigProperty işlevini kullanarak kullanılır.
Belirli bir dosya ayarlandıysa, olay günlüğü hizmetinin dosya üzerinde tam izinlere sahip olduğundan emin olun.
Bu değerin yerel dizinde (uzak bilgisayar, DOS cihazı, disket veya kanal değil) bulunan bir dosya için geçerli bir dosya adı olması gerekir. Dosya ayarı yanlışsa, olay günlüğü hizmeti başlatıldığında Sistem olay günlüğünde bir olay tetiklenir.
Dosya yolunda, olay günlüğü hizmeti bağlamında genişletilemeyen ortam değişkenlerini kullanmayın.
MaxSize Günlük dosyasının bayt cinsinden en büyük boyutu. Bu değer REG_DWORD türündedir. Değer, Sistem, Uygulama veya Güvenlik günlüğü için 64K'nın katı olarak ayarlanmalıdır. Varsayılan değer 1 MB'tır.
PrimaryModule Bu değer kullanılmaz.
Bekletme Bu değer REG_DWORD türündedir. Varsayılan değer 0'dır. Bu değer 0 ise, olay kayıtlarının her zaman üzerine yazılır. Bu değer 0xFFFFFFFF veya sıfır olmayan bir değerse, kayıtların üzerine hiçbir zaman yazılmaz. Günlük dosyası en büyük boyutuna ulaştığında, günlüğü el ile temizlemeniz gerekir; aksi takdirde, yeni olaylar atılır. Boyutunu değiştirebilmeniz için önce günlüğü de temizlemeniz gerekir.
Kaynakları Bu değer kullanılmaz.
AutoBackupLogFiles Bu değer REG_DWORD türündedir ve olay günlüğü hizmeti tarafından bir olay günlüğünün otomatik olarak kaydedilip kaydedilmeyeceğini belirlemek için kullanılır. Varsayılan değer 0'dır ve otomatik yedekleme devre dışı bırakılır. Hizmet günlük dosyasını yalnızca bekletme değeri -1 (0xFFFFFFFF) olduğunda yedekler. Diğer değerler yoksayılır.Windows Server 2003: autoBackupLogFiles'ın çalışması için Bekletme -1 (0xFFFFFFFF) veya 1 (0x00000001) olarak ayarlanabilir. Diğer değerler yoksayılır.
RestrictGuestAccess Bu değer kullanılmaz.
Yalıtım Günlük için varsayılan erişim izinlerini tanımlar. Bu değer REG_SZ türündedir. Aşağıdaki değerlerden birini belirtebilirsiniz:
  • uygulama
  • sistem
  • özel
Varsayılan yalıtım uygulama . Uygulama için varsayılan izinler şunlardır (SDDL kullanılarak gösterilir): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Sistem için varsayılan izinler (SDDL kullanılarak gösterilir): 
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Özel yalıtımı için varsayılan izinler Uygulama ile aynıdır.

Her günlük ayrıca olay kaynakları içerir. Daha fazla bilgi için bkz. Olay Kaynakları.

  • Last updated on