Ereignisquellen

Jedes Protokoll im Eventlog-Schlüssel enthält Unterschlüssel, die als Ereignisquellen bezeichnet werden. Die Ereignisquelle ist der Name der Software, die das Ereignis protokolliert. Dies ist häufig der Name der Anwendung oder der Name einer Unterkomponente der Anwendung, wenn die Anwendung groß ist. Sie können der Registrierung maximal 16.384 Ereignisquellen hinzufügen. Das Sicherheitsprotokoll ist nur für die Systemverwendung vorgesehen. Gerätetreiber sollten ihre Namen dem Systemprotokoll hinzufügen. Anwendungen und Dienste sollten ihre Namen dem Anwendungsprotokoll hinzufügen oder ein benutzerdefiniertes Protokoll erstellen.

Die Struktur der Ereignisquellen sieht wie folgt aus:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

Sie können keinen Quellnamen verwenden, der bereits als Protokollname verwendet wurde. Darüber hinaus können Quellnamen nicht hierarchisch sein. das heißt, sie dürfen keinen umgekehrten Schrägstrich ("") enthalten. \

Jede Ereignisquelle enthält Informationen (z. B. eine Nachrichtendatei),die für die Software spezifisch sind, die die Ereignisse protokolliert, wie in der folgenden Tabelle dargestellt.

Registrierungswert BESCHREIBUNG
CategoryCount Anzahl der unterstützten Ereigniskategorien. Dieser Wert ist vom Typ REG_DWORD.
CategoryMessageFile Pfad zur Kategoriemeldungsdatei. Eine Kategoriemeldungsdatei enthält sprachabhängige Zeichenfolgen, die die Kategorien beschreiben. Dieser Wert kann vom Typ REG_SZ oder REG_EXPAND_SZsein.
EventMessageFile Pfad zu einer oder mehreren Ereignismeldungsdateien; Verwenden Sie ein Semikolon, um mehrere Dateien zu begrenzen. Eine Ereignismeldungsdatei enthält sprachabhängige Zeichenfolgen, die die Ereignisse beschreiben. Dieser Wert kann vom Typ REG_SZ oder REG_EXPAND_SZsein.
ParameterMessageFile Pfad zur Parametermeldungsdatei. Eine Parametermeldungsdatei enthält sprachunabhängige Zeichenfolgen, die in die Zeichenfolgen der Ereignisbeschreibung eingefügt werden sollen. Dieser Wert kann vom Typ REG_SZ oder REG_EXPAND_SZsein.
TypesSupported Bitmaske mit unterstützten Typen. Dieser Wert ist vom Typ REG_DWORD. Dies kann mindestens einer der folgenden Werte sein:
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

Wenn eine Anwendung die RegisterEventSource- oder OpenEventLog-Funktion verwendet, um ein Handle für ein Ereignisprotokoll abzurufen, sucht der Ereignisprotokollierungsdienst nach der angegebenen Ereignisquelle in der Registrierung. Beispielsweise kann das Anwendungsprotokoll Ereignisquellen für Microsoft SQL Server und Microsoft Excel enthalten. Wenn eine Anwendung RegisterEventSource oder OpenEventLog mit dem Quellnamen Application, SQL oder Excel verwendet, gibt der Ereignisprotokollierungsdienst ein Handle für das Anwendungsprotokoll zurück.

Eine Anwendung kann das Anwendungsprotokoll verwenden, ohne der Registrierung eine neue Ereignisquelle hinzuzufügen. Wenn die Anwendung RegisterEventSource aufruft und einen Quellnamen übergibt, der in der Registrierung nicht gefunden werden kann, verwendet der Ereignisprotokollierungsdienst standardmäßig das Anwendungsprotokoll. Da es jedoch keine Meldungsdateien gibt, kann der Ereignisanzeige keine Ereignisbezeichner oder Ereigniskategorien einer Beschreibungszeichenfolge zuordnen und zeigt einen Fehler an. Aus diesem Grund sollten Sie der Registrierung für Ihre Anwendung eine eindeutige Ereignisquelle hinzufügen und eine Meldungsdatei angeben.