Eventlog-Schlüssel

Das Ereignisprotokoll enthält die folgenden Standardprotokolle sowie benutzerdefinierte Protokolle:

Log BESCHREIBUNG
Anwendung Enthält Ereignisse, die von Anwendungen protokolliert werden. Beispielsweise kann eine Datenbankanwendung einen Dateifehler aufzeichnen. Der Anwendungsentwickler entscheidet, welche Ereignisse aufzeichnen werden.
Security Enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse im Zusammenhang mit der Ressourcennutzung wie das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Ein Administrator kann die Überwachung starten, um Ereignisse im Sicherheitsprotokoll zu erfassen.
System Enthält Ereignisse, die von Systemkomponenten protokolliert werden, z. B. der Fehler beim Laden eines Treibers oder einer anderen Systemkomponente während des Starts.
CustomLog Enthält Ereignisse, die von Anwendungen protokolliert werden, die ein benutzerdefiniertes Protokoll erstellen. Mithilfe eines benutzerdefinierten Protokolls kann eine Anwendung die Größe des Protokolls steuern oder ACLs zu Sicherheitszwecken anfügen, ohne dass andere Anwendungen betroffen sind.

Der Ereignisprotokollierungsdienst verwendet die im Registrierungsschlüssel Eventlog gespeicherten Informationen. Der Eventlog-Schlüssel enthält mehrere Unterschlüssel, die als Protokolle bezeichnet werden. Jedes Protokoll enthält Informationen, die der Ereignisprotokollierungsdienst verwendet, um Ressourcen zu suchen, wenn eine Anwendung in das Ereignisprotokoll schreibt und daraus liest.

Die Struktur des Eventlog-Schlüssels lautet wie folgt:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Beachten Sie, dass Domänencontroller Ereignisse im Verzeichnisdienst und im Dateireplikationsdienst protokollieren und DNS-Server Ereignisse im DNS-Server aufzeichnen.

Jedes Protokoll kann die folgenden Registrierungswerte enthalten.

Registrierungswert BESCHREIBUNG
CustomSD Schränkt den Zugriff auf das Ereignisprotokoll ein. Dieser Wert ist vom Typ REG_SZ. Das verwendete Format ist Security Descriptor Definition Language (SDDL). Erstellen Sie eine ACL, die mindestens eines der folgenden Rechte gewährt:
Löschen (0x0004)
Lesen (0x0001)
Schreiben (0x0002)
Um eine syntaktisch gültige SDDL zu sein, muss der CustomSD-Wert einen Besitzer und einen Gruppenbesitzer (z. B. O:BAG:SY) angeben, aber der Besitzer und der Gruppenbesitzer werden nicht verwendet. Wenn CustomSD auf einen falschen Wert festgelegt ist, wird beim Starten des Ereignisprotokolldiensts ein Ereignis im Systemereignisprotokoll ausgelöst, und das Ereignisprotokoll ruft einen Standardsicherheitsdeskriptor ab, der mit dem ursprünglichen CustomSD-Wert für das Anwendungsprotokoll identisch ist. SACLs werden nicht unterstützt.
Weitere Informationen finden Sie unter Ereignisprotokollierungssicherheit.
Windows Server 2003: SACLs werden unterstützt.
Windows XP/2000: Dieser Wert wird nicht unterstützt.

DisplayNameFile Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Name der Datei, in der der lokalisierte Name des Ereignisprotokolls gespeichert wird. Der in dieser Datei gespeicherte Name wird als Protokollname in Ereignisanzeige. Wenn dieser Eintrag nicht in der Registrierung für ein Ereignisprotokoll angezeigt wird, Ereignisanzeige den Namen des Registrierungsunterschlüssels als Protokollnamen an. Dieser Wert ist vom Typ REG_EXPAND_SZ. Der Standardwert ist %SystemRoot%\system32\els.dll.
DisplayNameID Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Meldungs-ID der Protokollnamenzeichenfolge. Diese Zahl gibt die Meldung an, in der der lokalisierte Anzeigename angezeigt wird. Die Meldung wird in der Datei gespeichert, die durch den DisplayNameFile-Wert angegeben wird. Dieser Wert ist vom Typ REG_DWORD.
File Vollqualifizierter Pfad zu der Datei, in der jedes Ereignisprotokoll gespeichert wird. Dies ermöglicht Ereignisanzeige und anderen Anwendungen, die Protokolldateien zu finden. Dieser Wert ist vom Typ REG_SZ oder REG_EXPAND_SZ. Dieser Wert ist optional. Wenn der Wert nicht angegeben wird, wird standardmäßig %SystemRoot%\system32\winevt\logs\ gefolgt von einem Dateinamen verwendet, der auf dem Namen des Registrierungsschlüssels des Ereignisprotokolls basiert. Der spezifische Pfad der Ereignisprotokolldatei sollte mit dem Befehlszeilenprogramm wevtutil.exe oder mithilfe der EvtSetChannelConfigProperty-Funktion festgelegt werden, bei der EvtChannelLoggingConfigLogFilePath an den PropertyId-Parameter übergeben wird.
Wenn eine bestimmte Datei festgelegt ist, stellen Sie sicher, dass der Ereignisprotokolldienst über vollständige Berechtigungen für die Datei verfügt.
Dieser Wert muss ein gültiger Dateiname für eine Datei sein, die sich in einem lokalen Verzeichnis befindet (kein Remotecomputer, kein DOS-Gerät, keine Diskette und keine Pipe). Wenn die Dateieinstellung falsch ist, wird beim Starten des Ereignisprotokolldiensts ein Ereignis im Systemereignisprotokoll ausgelöst.
Verwenden Sie keine Umgebungsvariablen im Pfad zur Datei, die im Kontext des Ereignisprotokolldiensts nicht erweitert werden können.
Windows Server 2003 und Windows XP/2000: Dieser Wert ist standardmäßig auf %SystemRoot%\system32\config\ gefolgt von einem Dateinamen festgelegt, der auf dem Namen des Registrierungsschlüssels des Ereignisprotokolls basiert. Wenn die Einstellung Datei auf einen ungültigen Wert festgelegt ist, wird das Protokoll entweder nicht ordnungsgemäß initialisiert, oder alle Anforderungen werden im Hintergrund zum Standardprotokoll (Anwendung) wechseln.
Maxsize Maximale Größe der Protokolldatei in Bytes. Dieser Wert ist vom Typ REG_DWORD. Der Wert muss für ein System-, Anwendungs- oder Sicherheitsprotokoll auf ein Vielfaches von 64.000 festgelegt werden. Der Standardwert ist 1 MB. Windows Server 2003 und Windows XP/2000: Der Wert ist auf 0xFFFFFFFF beschränkt, und der Standardwert ist 512.000.
PrimaryModule Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Dieser Wert ist der Name des Unterschlüssels, der die Standardwerte für die Einträge im Unterschlüssel für die Ereignisquelle enthält. Dieser Wert ist vom Typ REG_SZ.
Vermerkdauer Dieser Wert ist vom Typ REG_DWORD. Der Standardwert ist 0. Wenn dieser Wert 0 ist, werden die Datensätze von Ereignissen immer überschrieben. Wenn dieser Wert 0xFFFFFFFF oder ein Wert ungleich 0 ist, werden Datensätze nie überschrieben. Wenn die Protokolldatei ihre maximale Größe erreicht, müssen Sie das Protokoll manuell löschen. Andernfalls werden neue Ereignisse verworfen. Sie müssen das Protokoll auch löschen, bevor Sie seine Größe ändern können. Windows Server 2003 und Windows XP/2000: Dieser Wert ist das Zeitintervall in Sekunden, in dem Datensätze von Ereignissen vor dem Überschreiben geschützt sind. Wenn das Alter eines Ereignisses diesen Wert erreicht oder überschreitet, kann es überschrieben werden.
Sources Dieser Wert wird nicht verwendet. Windows Server 2003 und Windows XP/2000: Namen der Anwendungen, Dienste oder Gruppen von Anwendungen, die Ereignisse in dieses Protokoll schreiben. Dieser Wert sollte nur gelesen und nicht geändert werden. Der Ereignisprotokolldienst verwaltet die Liste basierend auf jedem Programm, das in einem Unterschlüssel unter dem Protokoll aufgeführt ist. Dieser Wert ist vom Typ REG_MULTI_SZ.
AutoBackupLogFiles Dieser Wert ist vom Typ REG_DWORD und wird vom Ereignisprotokolldienst verwendet, um zu bestimmen, ob ein Ereignisprotokoll automatisch gespeichert werden soll. Der Standardwert ist 0, wodurch die automatische Sicherung deaktiviert wird. Der Dienst wird die Protokolldatei nur sichern, wenn der Aufbewahrungswert -1 (0xFFFFFFFF. Andere Werte werden ignoriert. Windows Server 2003: Die Aufbewahrungsdauer kann auf -1 (0xFFFFFFFF) oder 1 (0x00000001) festgelegt werden, damit AutoBackupLogFiles funktioniert. Andere Werte werden ignoriert.
RestrictGuestAccess Dieser Wert wird nicht verwendet. Windows XP/2000: Dieser Wert ist vom Typ REG_DWORD, und der Standardwert ist 1. Wenn der Wert auf 1 festgelegt ist, schränkt er den Zugriff des Gastkontos und des anonymen Kontos auf das Ereignisprotokoll ein, und wenn dieser Wert 0 ist, wird gastkontozugriff auf das Ereignisprotokoll ermöglicht.
Isolation Definiert die Standardzugriffsberechtigungen für das Protokoll. Dieser Wert ist vom Typ REG_SZ. Sie können einen der folgenden Werte angeben:
  • Anwendung
  • System
  • Benutzerdefiniert
Die Standardisolation ist Application. Die Standardberechtigungen für die Anwendung sind (mitHILFE von SDDL dargestellt):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read) 
Die Standardberechtigungen für System sind (mit SDDL dargestellt):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Die Standardberechtigungen für die benutzerdefinierte Isolation sind identisch mit application.
Windows Server 2003 und Windows XP/2000: Dieser Wert ist nicht verfügbar.

Jedes Protokoll enthält auch Ereignisquellen. Weitere Informationen finden Sie unter Ereignisquellen.