Origini eventi
Ogni log nella chiave eventlog contiene sottochiavi denominate origini eventi. L'origine evento è il nome del software che registra l'evento. Spesso è il nome dell'applicazione o il nome di un sottocomponente dell'applicazione se l'applicazione è di grandi dimensioni. È possibile aggiungere un massimo di 16.384 origini eventi al Registro di sistema. Il log di sicurezza è solo per l'uso del sistema. I driver di dispositivo devono aggiungere i nomi al log di sistema . Le applicazioni e i servizi devono aggiungere i nomi al log dell'applicazione o creare un log personalizzato.
La struttura delle origini eventi è la seguente:
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
Non è possibile usare un nome di origine già usato come nome di log. Inoltre, i nomi di origine non possono essere gerarchici; ovvero, non possono contenere il carattere barra rovesciata ("\").
Ogni origine evento contiene informazioni , ad esempio un file di messaggio, specifiche per il software che registra gli eventi, come illustrato nella tabella seguente.
Valore del Registro di sistema | Descrizione |
---|---|
CategoryCount | Numero di categorie di eventi supportate. Questo valore è di tipo REG_DWORD. |
CategoryMessageFile | Percorso del file di messaggio di categoria. Un file di messaggio di categoria contiene stringhe dipendenti dalla lingua che descrivono le categorie. Questo valore può essere di tipo REG_SZ o REG_EXPAND_SZ. |
EventMessageFile | Percorso di uno o più file di messaggio di evento; usare un punto e virgola per delimitare più file. Un file di messaggio di evento contiene stringhe dipendenti dal linguaggio che descrivono gli eventi. Questo valore può essere di tipo REG_SZ o REG_EXPAND_SZ. |
ParameterMessageFile | Percorso del file di messaggio del parametro. Un file di messaggio di parametro contiene stringhe indipendenti dal linguaggio da inserire nelle stringhe della descrizione dell'evento. Questo valore può essere di tipo REG_SZ o REG_EXPAND_SZ. |
Tipi Supportati | Maschera di bit di tipi supportati. Questo valore è di tipo REG_DWORD. Può essere uno o più dei valori seguenti:
EVENTLOG_AUDIT_SUCCESS (0x0008 ) EVENTLOG_ERROR_TYPE (0x0001 ) EVENTLOG_INFORMATION_TYPE (0x0004 ) EVENTLOG_WARNING_TYPE (0x0002 ) |
Quando un'applicazione usa la funzione RegisterEventSource o OpenEventLog per ottenere un handle in un registro eventi, il servizio registrazione eventi cerca l'origine evento specificata nel Registro di sistema. Ad esempio, il log dell'applicazione potrebbe contenere origini eventi per Microsoft SQL Server e Microsoft Excel. Se un'applicazione usa RegisterEventSource o OpenEventLog con un nome di origine di Application, SQL o Excel, il servizio registrazione eventi restituisce un handle al log dell'applicazione .
Un'applicazione può usare il log dell'applicazione senza aggiungere una nuova origine evento al Registro di sistema. Se l'applicazione chiama RegisterEventSource e passa un nome di origine che non può essere trovato nel Registro di sistema, il servizio di registrazione eventi usa il log dell'applicazione per impostazione predefinita. Tuttavia, poiché non sono presenti file di messaggio, l'Visualizzatore eventi non può eseguire il mapping di eventuali identificatori di evento o categorie di eventi a una stringa di descrizione e visualizzerà un errore. Per questo motivo, è necessario aggiungere un'origine evento univoca al Registro di sistema per l'applicazione e specificare un file di messaggio.