Clave del registro de eventos

El registro de eventos contiene los siguientes registros estándar, así como registros personalizados:

Log	Descripción
Aplicación	Contiene eventos registrados por aplicaciones. Por ejemplo, una aplicación de base de datos podría registrar un error de archivo. El desarrollador de aplicaciones decide qué eventos se van a registrar.
Seguridad	Contiene eventos como intentos de inicio de sesión válidos e no válidos, así como eventos relacionados con el uso de recursos, como crear, abrir o eliminar archivos u otros objetos. Un administrador puede empezar a auditar para registrar eventos en el registro de seguridad.
Sistema	Contiene eventos registrados por componentes del sistema, como el error de un controlador u otro componente del sistema que se va a cargar durante el inicio.
CustomLog	Contiene eventos registrados por aplicaciones que crean un registro personalizado. El uso de un registro personalizado permite que una aplicación controle el tamaño del registro o adjunte las ACL con fines de seguridad sin afectar a otras aplicaciones.

El servicio de registro de eventos usa la información almacenada en la clave del Registro de eventos . La clave eventlog contiene varias subclaves, denominadas registros. Cada registro contiene información que el servicio de registro de eventos usa para buscar recursos cuando una aplicación escribe en y lee desde el registro de eventos.

La estructura de la clave eventlog es la siguiente:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Tenga en cuenta que los controladores de dominio registran eventos en los registros del servicio de directorio y del servicio de replicación de archivos y los servidores DNS registran eventos en el servidor DNS.

Cada registro puede contener los siguientes valores del Registro.

Valor del Registro	Descripción
CustomSD	Restringe el acceso al registro de eventos. Este valor es de tipo REG_SZ. El formato usado es lenguaje de definición de descriptor de seguridad (SDDL). Construya una ACL que conceda uno o varios de los derechos siguientes: Borrar (0x0004) Lectura (0x0001) Escritura (0x0002) Para ser un SDDL sintácticamente válido, el valor de CustomSD debe especificar un propietario y un propietario de grupo (por ejemplo, O:BAG:SY), pero no se usan el propietario y el propietario del grupo. Si CustomSD se establece en un valor incorrecto, se desencadena un evento en el registro de eventos del sistema cuando se inicia el servicio de registro de eventos y el registro de eventos obtiene un descriptor de seguridad predeterminado que es idéntico al valor customSD original para el registro de aplicaciones. No se admiten SACL. Para obtener más información, consulte Seguridad del registro de eventos. Windows Server 2003: Se admiten sacl. Windows XP/2000: Este valor no se admite.
DisplayNameFile	Este valor no se utiliza. Windows Server 2003 y Windows XP/2000: Nombre del archivo que almacena el nombre localizado del registro de eventos. El nombre almacenado en este archivo aparece como el nombre del registro en Visor de eventos. Si esta entrada no aparece en el Registro para un registro de eventos, Visor de eventos muestra el nombre de la subclave del Registro como el nombre del registro. Este valor es de tipo REG_EXPAND_SZ. El valor predeterminado es %SystemRoot%\system32\els.dll.
DisplayNameID	Este valor no se utiliza. Windows Server 2003 y Windows XP/2000: Número de identificación del mensaje de la cadena de nombre de registro. Este número indica el mensaje en el que aparece el nombre para mostrar localizado. El mensaje se almacena en el archivo especificado por el valor DisplayNameFile . Este valor es de tipo REG_DWORD.
Archivo	Ruta de acceso completa al archivo donde se almacena cada registro de eventos. Esto permite que Visor de eventos y otras aplicaciones busquen los archivos de registro. Este valor es de tipo REG_SZ o REG_EXPAND_SZ. Este valor es opcional. Si no se especifica el valor, el valor predeterminado es %SystemRoot%\system32\winevt\logs\ seguido de un nombre de archivo basado en el nombre de la clave del Registro de eventos. La ruta de acceso del archivo de registro de eventos específica debe establecerse mediante la utilidad de línea de comandos wevtutil.exe o mediante la función EvtSetChannelConfigProperty con EvtChannelLoggingConfigLogFilePath pasado al parámetro PropertyId . Si se establece un archivo específico, asegúrese de que el servicio de registro de eventos tiene permisos completos en el archivo. Este valor debe ser un nombre de archivo válido para un archivo que se encuentra en un directorio local (no un equipo remoto, no un dispositivo DOS, no un disquete y no una canalización). Si la configuración del archivo es incorrecta, se desencadena un evento en el registro de eventos del sistema cuando se inicia el servicio de registro de eventos. No use variables de entorno, en la ruta de acceso al archivo, que no se puede expandir en el contexto del servicio de registro de eventos. Windows Server 2003 y Windows XP/2000: El valor predeterminado es %SystemRoot%\system32\config\ seguido de un nombre de archivo basado en el nombre de la clave del Registro de eventos. Si la configuración Archivo está establecida en un valor no válido, el registro no se inicializará correctamente o todas las solicitudes pasarán silenciosamente al registro predeterminado (Aplicación).
Maxsize	Tamaño máximo, en bytes, del archivo de registro. Este valor es de tipo REG_DWORD. El valor debe establecerse en un múltiplo de 64 K para un registro de sistema, aplicación o seguridad. El valor predeterminado es 1 MB. Windows Server 2003 y Windows XP/2000: El valor se limita a 0xFFFFFFFF y el valor predeterminado es 512K.
PrimaryModule	Este valor no se usa. Windows Server 2003 y Windows XP/2000: Este valor es el nombre de la subclave que contiene los valores predeterminados de las entradas de la subclave del origen del evento. Este valor es de tipo REG_SZ.
Retención	Este valor es de tipo REG_DWORD. El valor predeterminado es 0. Si este valor es 0, los registros de eventos siempre se sobrescriben. Si este valor es 0xFFFFFFFF o cualquier valor distinto de cero, los registros nunca se sobrescriben. Cuando el archivo de registro alcance su tamaño máximo, debe borrar el registro manualmente; de lo contrario, se descartan los nuevos eventos. También debe borrar el registro para poder cambiar su tamaño. Windows Server 2003 y Windows XP/2000: Este valor es el intervalo de tiempo, en segundos, que los registros de eventos se protegen de la sobrescritura. Cuando la antigüedad de un evento alcanza o supera este valor, se puede sobrescribir.
Sources	Este valor no se utiliza. Windows Server 2003 y Windows XP/2000: Nombres de las aplicaciones, servicios o grupos de aplicaciones que escriben eventos en este registro. Este valor solo debe leerse y no modificarse. El servicio de registro de eventos mantiene la lista en función de cada programa enumerado en una subclave en el registro. Este valor es de tipo REG_MULTI_SZ.
AutoBackupLogFiles	Este valor es de tipo REG_DWORD y lo usa el servicio de registro de eventos para determinar si se debe guardar automáticamente un registro de eventos. El valor predeterminado es 0, que deshabilita la copia de seguridad automática. El servicio realizará una copia de seguridad del archivo de registro solo si el valor de retención es -1 (0xFFFFFFFF). Se omitirán otros valores. Windows Server 2003: La retención se puede establecer en -1 (0xFFFFFFFF) o 1 (0x00000001) para que funcione AutoBackupLogFiles. Se omitirán otros valores.
RestrictGuestAccess	Este valor no se utiliza. Windows XP/2000: Este valor es de tipo REG_DWORD y el valor predeterminado es 1. Cuando el valor se establece en 1, restringe el acceso de la cuenta invitado y anónima al registro de eventos y, cuando este valor es 0, permite el acceso de la cuenta de invitado al registro de eventos.
Aislamiento	Define los permisos de acceso predeterminados para el registro. Este valor es de tipo REG_SZ. Puede especificar uno de los siguientes valores: Aplicación Sistema Personalizada El aislamiento predeterminado es Application. Los permisos predeterminados para la aplicación se muestran (se muestran mediante SDDL): L"O:BAG:SYD:" L"(A;;0xf0007;;;SY)" // local system (read, write, clear) L"(A;;0x7;;;BA)" // built-in admins (read, write, clear) L"(A;;0x7;;;SO)" // server operators (read, write, clear) L"(A;;0x3;;;IU)" // INTERACTIVE LOGON (read, write) L"(A;;0x3;;;SU)" // SERVICES LOGON (read, write) L"(A;;0x3;;;S-1-5-3)" // BATCH LOGON (read, write) L"(A;;0x3;;;S-1-5-33)" // write restricted service (read, write) L"(A;;0x1;;;S-1-5-32-573)"; // event log readers (read) Los permisos predeterminados para System se muestran (se muestran mediante SDDL): L"O:BAG:SYD:" L"(A;;0xf0007;;;SY)" // local system (read, write, clear) L"(A;;0x7;;;BA)" // built-in admins (read, write, clear) L"(A;;0x3;;;BO)" // backup operators (read, write) L"(A;;0x5;;;SO)" // server operators (read, clear) L"(A;;0x1;;;IU)" // INTERACTIVE LOGON (read) L"(A;;0x3;;;SU)" // SERVICES LOGON (read, write) L"(A;;0x1;;;S-1-5-3)" // BATCH LOGON (read) L"(A;;0x2;;;S-1-5-33)" // write restricted service (write) L"(A;;0x1;;;S-1-5-32-573)"; // event log readers (read) Los permisos predeterminados para el aislamiento personalizado son los mismos que la aplicación. Windows Server 2003 y Windows XP/2000: Este valor no está disponible.

Cada registro también contiene orígenes de eventos. Para obtener más información, consulte Orígenes de eventos.