Chiave del log eventi

  • Articolo

Il registro eventi contiene i log standard seguenti, nonché i log personalizzati:

File di log Descrizione
Applicazione Contiene gli eventi registrati dalle applicazioni. Ad esempio, un'applicazione di database potrebbe registrare un errore di file. Lo sviluppatore dell'applicazione decide quali eventi registrare.
Sicurezza Contiene eventi come tentativi di accesso validi e non validi, nonché eventi correlati all'uso delle risorse, ad esempio la creazione, l'apertura o l'eliminazione di file o altri oggetti. Un amministratore può avviare il controllo per registrare gli eventi nel log di sicurezza.
Sistema Contiene eventi registrati dai componenti di sistema, ad esempio l'errore di un driver o di un altro componente di sistema da caricare durante l'avvio.
CustomLog Contiene gli eventi registrati dalle applicazioni che creano un log personalizzato. L'uso di un log personalizzato consente a un'applicazione di controllare le dimensioni del log o allegare ACL a scopo di sicurezza senza influire sulle altre applicazioni.

Il servizio di registrazione eventi usa le informazioni archiviate nella chiave del Registro di sistema eventlog . La chiave eventlog contiene diverse sottochiavi, denominate logs. Ogni log contiene informazioni usate dal servizio di registrazione eventi per individuare le risorse quando un'applicazione scrive e legge dal registro eventi.

La struttura della chiave eventlog è la seguente:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Si noti che i controller di dominio registrano gli eventi nel servizio directory e nei log del servizio Replica file e gli eventi dei server DNS nel server DNS.

Ogni log può contenere i valori del Registro di sistema seguenti.

Valore del Registro di sistema Descrizione
CustomSD Limita l'accesso al registro eventi. Questo valore è di tipo REG_SZ. Il formato usato è Security Descriptor Definition Language (SDDL). Creare un elenco di controllo di accesso che concede uno o più dei diritti seguenti:
Cancella (0x0004)
Lettura (0x0001)
Scrittura (0x0002)
Per essere un SDDL sintatticamente valido, il valore CustomSD deve specificare un proprietario e un proprietario del gruppo (ad esempio, O:BAG:SY), ma il proprietario e il proprietario del gruppo non vengono usati. Se CustomSD è impostato su un valore errato, un evento viene generato nel registro eventi di sistema all'avvio del servizio registro eventi e il registro eventi ottiene un descrittore di sicurezza predefinito identico al valore CustomSD originale per il registro applicazioni. Le licenze SACL non sono supportate.
Per altre informazioni, vedere Sicurezza della registrazione eventi.
Windows Server 2003: Sono supportate le licenze SACL.
Windows XP/2000: Questo valore non è supportato.
DisplayNameFile Questo valore non viene utilizzato. Windows Server 2003 e Windows XP/2000: Nome del file in cui è archiviato il nome localizzato del registro eventi. Il nome archiviato in questo file viene visualizzato come nome del log in Visualizzatore eventi. Se questa voce non viene visualizzata nel Registro di sistema per un registro eventi, Visualizzatore eventi visualizza il nome della sottochiave del Registro di sistema come nome del log. Questo valore è di tipo REG_EXPAND_SZ. Il valore predefinito è %SystemRoot%\system32\els.dll.
DisplayNameID Questo valore non viene utilizzato. Windows Server 2003 e Windows XP/2000: Numero di identificazione del messaggio della stringa del nome del log. Questo numero indica il messaggio in cui viene visualizzato il nome visualizzato localizzato. Il messaggio viene archiviato nel file specificato dal valore DisplayNameFile . Questo valore è di tipo REG_DWORD.
File Percorso completo del file in cui è archiviato ogni registro eventi. In questo modo Visualizzatore eventi e altre applicazioni possono trovare i file di log. Questo valore è di tipo REG_SZ o REG_EXPAND_SZ. Questo valore è facoltativo. Se il valore non viene specificato, per impostazione predefinita viene impostato su %SystemRoot%\system32\winevt\logs\ seguito da un nome file basato sul nome della chiave del Registro eventi. Il percorso del file del registro eventi specifico deve essere impostato usando l'utilità della riga di comando wevtutil.exe o usando la funzione EvtSetChannelConfigProperty con EvtChannelLoggingConfigLogFilePath passato al parametro PropertyId .
Se è impostato un file specifico, assicurarsi che il servizio registro eventi disponga delle autorizzazioni complete per il file.
Questo valore deve essere un nome di file valido per un file che si trova in una directory locale (non un computer remoto, non un dispositivo DOS, non un floppy e non una pipe). Se l'impostazione del file non è corretta, viene generato un evento nel registro eventi di sistema all'avvio del servizio registro eventi.
Non usare le variabili di ambiente, nel percorso del file, che non possono essere espanse nel contesto del servizio registro eventi.
Windows Server 2003 e Windows XP/2000: Il valore predefinito è %SystemRoot%\system32\config\ seguito da un nome di file basato sul nome della chiave del Registro di sistema del registro eventi. Se l'impostazione File è impostata su un valore non valido, il log non verrà inizializzato correttamente oppure tutte le richieste passeranno automaticamente al log predefinito (applicazione).
MaxSize Dimensioni massime, in byte, del file di log. Questo valore è di tipo REG_DWORD. Il valore deve essere impostato su un multiplo di 64K per un registro di sistema, applicazione o sicurezza. Il valore predefinito è 1 MB. Windows Server 2003 e Windows XP/2000: Il valore è limitato a 0xFFFFFFFF e il valore predefinito è 512K.
PrimaryModule Questo valore non viene utilizzato. Windows Server 2003 e Windows XP/2000: Questo valore è il nome della sottochiave che contiene i valori predefiniti per le voci nella sottochiave per l'origine evento. Questo valore è di tipo REG_SZ.
Conservazione Questo valore è di tipo REG_DWORD. Il valore predefinito è 0. Se questo valore è 0, i record degli eventi vengono sempre sovrascritti. Se questo valore è 0xFFFFFFFF o qualsiasi valore diverso da zero, i record non vengono mai sovrascritti. Quando il file di log raggiunge le dimensioni massime, è necessario cancellare manualmente il log; in caso contrario, i nuovi eventi vengono eliminati. È anche necessario cancellare il log prima di modificarne le dimensioni. Windows Server 2003 e Windows XP/2000: Questo valore è l'intervallo di tempo, espresso in secondi, che i record degli eventi sono protetti dalla sovrascrittura. Quando l'età di un evento raggiunge o supera questo valore, può essere sovrascritta.
recenti Questo valore non viene utilizzato. Windows Server 2003 e Windows XP/2000: Nomi delle applicazioni, dei servizi o dei gruppi di applicazioni che scrivono eventi in questo log. Questo valore deve essere letto e non modificato. Il servizio registro eventi gestisce l'elenco in base a ogni programma elencato in una sottochiave nel log. Questo valore è di tipo REG_MULTI_SZ.
AutoBackupLogFiles Questo valore è di tipo REG_DWORD e viene usato dal servizio registro eventi per determinare se un registro eventi deve essere salvato automaticamente. Il valore predefinito è 0, che disabilita il backup automatico. Il servizio eseguirà il backup del file di log solo se il valore di conservazione è -1 (0xFFFFFFFF). Gli altri valori verranno ignorati. Windows Server 2003: La conservazione può essere impostata su -1 (0xFFFFFFFF) o 1 (0x00000001) per il funzionamento di AutoBackupLogFiles. Gli altri valori verranno ignorati.
RestrictGuestAccess Questo valore non viene utilizzato. Windows XP/2000: Questo valore è di tipo REG_DWORD e il valore predefinito è 1. Quando il valore è impostato su 1, limita l'accesso dell'account guest e anonimo al registro eventi e, quando questo valore è 0, consente all'account guest di accedere al registro eventi.
Isolamento Definisce le autorizzazioni di accesso predefinite per il log. Questo valore è di tipo REG_SZ. È possibile specificare uno dei valori seguenti:
  • Applicazione
  • Sistema
  • Impostazione personalizzata
L'isolamento predefinito è Application. Le autorizzazioni predefinite per l'applicazione sono (visualizzate usando SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
Le autorizzazioni predefinite per System sono (visualizzate usando SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
Le autorizzazioni predefinite per l'isolamento personalizzato sono uguali a Application.
Windows Server 2003 e Windows XP/2000: Questo valore non è disponibile.

Ogni log contiene anche origini eventi. Per altre informazioni, vedere Origini eventi.