Resumen de tecnologías para leer y administrar registros de eventos

Los eventos de registros de aplicaciones en los registros de eventos registran información, advertencias y errores para que los administradores de sistemas, el personal de atención al cliente, las herramientas o los usuarios finales puedan supervisar el estado y las acciones de la aplicación. Con las clases del espacio de nombres System.Diagnostics.Eventing.Reader, se puede recuperar información de eventos, registros de eventos y aplicaciones que registran eventos (proveedores de eventos), así como configurar propiedades del registro de eventos. Estas clases sólo se pueden usar en equipos que se ejecutan en el sistema operativo Windows Vista o Windows Server 2008. Para obtener una lista de escenarios que utilizan las clases del registro de eventos, consulte Escenarios de registros de eventos. Para obtener más información sobre cómo acceder a la información de registro de eventos en Windows Server 2003, Windows XP o Windows 2000, consulte https://go.microsoft.com/fwlink/?LinkId=99047.

Eventos

Cada evento contiene un mensaje informativo, de advertencia o de error. Los eventos también contienen propiedades como el nivel (gravedad) del evento, el nombre del proveedor de eventos que ha registrado el evento y la hora en que se registró el evento. Los eventos se representan por objetos EventLogRecord, por tanto, para obtener una lista completa de propiedades de eventos, vea los miembros de la clase EventLogRecord.

Cada evento se puede representar en XML, con las propiedades y el mensaje de eventos definidos en elementos XML. Para recuperar el XML de eventos, use el método ToXml. Para obtener más información sobre eventos y XML de eventos, consulte https://go.microsoft.com/fwlink/?LinkID=94642 y Consultas de eventos y XML de eventos.

Para obtener un mensaje de eventos, use el método FormatDescription. Para obtener más información y un ejemplo de código, consulte Cómo consultar eventos.

Existen cuatro tipos diferentes de eventos definidos por la enumeración EventLogType. Cada tipo de evento está destinado a un público diferente. Los tipos de eventos más comunes son los tipos Operativo y Administrativo.

Registro de eventos

Un registro de eventos almacena eventos relacionados; cada registro sólo puede contener un tipo de evento. Los registros de eventos se pueden guardar (almacenar) en archivos .evtx, que posteriormente se pueden leer y consultar mediante programación o con la herramienta Visor de eventos. El objetivo de los registros de Windows es almacenar eventos de aplicaciones heredadas (aplicaciones diseñadas para Windows XP, Windows Server 2003 o Windows 2000) y eventos que se aplican a todo el sistema.

Registro de Windows Descripción

Aplicación

El registro de la aplicación contiene los eventos registrados por las aplicaciones o programas. Por ejemplo, un programa de la base de datos puede registrar un error de archivo en el registro de la aplicación. Los programadores deciden los eventos que hay que registrar.

Seguridad

El registro de seguridad contiene eventos como intentos de inicio de sesión válidos y no válidos, así como eventos relacionados con el uso de recursos, por ejemplo, creación, apertura o eliminación de archivos o de otros objetos. Los administradores pueden especificar qué eventos se registran en el archivo de seguridad. Por ejemplo, si ha habilitado la auditoría de inicio de sesión, los intentos para iniciar sesión en el sistema se registran en el registro de seguridad.

Sistema

El registro del sistema contiene los eventos registrados por los componentes del sistema Windows. Por ejemplo, en el registro del sistema se registra el error de carga de un controlador o de otro componente del sistema durante el inicio. Los tipos de eventos registrados por los componentes del sistema están predeterminados por Windows.

Instalación

El registro de instalación contiene eventos relacionados con la instalación de la aplicación.

Eventos reenviados

El registro de eventos reenviados se usa para almacenar los eventos recopilados de equipos remotos.

Los registros de aplicaciones y servicios son una categoría diferente de registros de eventos de los registros Windows, ya que almacenan eventos de una única aplicación o componente en lugar de eventos que pueden tener un impacto en todo el sistema. Hay una variedad de nombres definidos por los proveedores de eventos. Existen muchos registros de eventos que se encuentran en esta categoría. Para examinar los registros de eventos disponibles, utilice las herramientas mencionadas en la sección Herramientas.

Los registros de eventos de los registros de aplicaciones y servicios se dividen en cuatro tipos definidos por la enumeración EventLogType: Administrativo, Operativo, Analítico y Depuración. Los eventos de los registros de tipo administrativo son particularmente interesantes para los profesionales de TI que utilizan el Visor de eventos para solucionar problemas. Los eventos de los registros de tipo administrativo proporcionan información sobre cómo responder a los problemas. Los eventos de los registros de tipo operativo son útiles para los profesiones de TI, pero es probable que requieran interpretación adicional.

Los registros de tipo analítico y los de depuración no son tan sencillos. Los registros de tipo analítico almacenan eventos que realizan el seguimiento de un problema y, con frecuencia, registran un elevado volumen de eventos. Los programadores utilizan los registros de tipo depuración al depurar las aplicaciones. De forma predeterminada, tanto los registros de tipo analítico como los de depuración están ocultos e inhabilitados.

Para reunir información sobre un registro de eventos, use la clase EventLogInformation. Para configurar las propiedades del registro de eventos, use la clase EventLogConfiguration. Todos los registros de eventos contienen una propiedad SecurityDescriptor que determina qué usuarios pueden leer y obtener acceso al registro. Todos los registros también tienen una propiedad que controla el tamaño máximo del registro (la propiedad MaximumSizeInBytes). Cada registro también cuenta con una propiedad que controla cómo se tratan los eventos cuando se llena el registro de eventos (la propiedad LogMode). Para obtener más información sobre cómo configurar registros de eventos, consulte Cómo configurar y leer propiedades del registro de eventos.

Proveedores de eventos

La aplicación que registra un evento se denomina proveedor de eventos. El proveedor de eventos identifica los registros de eventos en los que se pueden publicar eventos y define los eventos que puede publicar. Los proveedores de eventos se identifican de forma exclusiva con un nombre y un identificador único global (GUID). Puede reunir información sobre un proveedor de eventos con la clase ProviderMetadata. La propiedad Events de dicha clase recopila todos los eventos que puede publicar el proveedor. Estos objetos de eventos se definen con la clase EventMetadata. Para obtener más información sobre cómo obtener acceso a los datos del proveedor de eventos, consulte Cómo recuperar información sobre un proveedor de eventos.

No puede crear un proveedor de eventos usando las clases del espacio de nombres System.Diagnostics.Eventing.Reader. Para obtener más información sobre cómo crear un proveedor de eventos, consulte Desarrollar proveedores de eventos.

Herramientas

Para obtener acceso a la información del registro de eventos desde la línea de comandos, utilice la herramienta WevtUtil.exe. Esta herramienta se encuentra en el directorio %SystemRoot%\System32. Para obtener información sobre la ayuda de la herramienta WevtUtil.exe, utilice el comando wevtutil /?.

Para obtener acceso a la información del registro de eventos desde una interfaz gráfica de usuario, utilice la herramienta Visor de eventos. El Visor de eventos es un complemento MMC (Microsoft Management Console) que permite al usuario examinar y administrar registros de eventos. También es útil para probar aplicaciones que utilizan las funciones del registro de eventos. Para obtener más información sobre el uso o inicio del Visor de eventos, consulte Información general sobre el Visor de eventos.

Consulte también

Referencia

System.Diagnostics.Eventing.Reader

Conceptos

Escenarios de registros de eventos
Consultas de eventos y XML de eventos

Footer image

Enviar comentarios sobre este tema a Microsoft.

Copyright © 2007 Microsoft Corporation. Reservados todos los derechos.