Eventlog キー

  • [アーティクル]

イベント ログには、次の標準ログとカスタム ログが含まれています。

ログ 説明
Application アプリケーションによってログに記録されたイベントが含まれます。 たとえば、データベース アプリケーションでファイル エラーが記録される場合があります。 アプリケーション開発者は、記録するイベントを決定します。
Security 有効なログオン試行や無効なログオン試行などのイベント、およびファイルやその他のオブジェクトの作成、開き、削除などのリソース使用に関連するイベントが含まれます。 管理者は監査を開始して、セキュリティ ログにイベントを記録できます。
システム 起動時に読み込まれるドライバーやその他のシステム コンポーネントの障害など、システム コンポーネントによってログに記録されたイベントが含まれます。
Customlog カスタム ログを作成するアプリケーションによってログに記録されるイベントが含まれます。 カスタム ログを使用すると、アプリケーションは他のアプリケーションに影響を与えることなく、セキュリティ上の目的でログのサイズを制御したり、ACL をアタッチしたりできます。

イベント ログ サービスは、 Eventlog レジストリ キーに格納されている情報を使用します。 Eventlog キーには、ログと呼ばれるいくつかのサブキーが含まれています。 各ログには、アプリケーションがイベント ログへの書き込みとイベント ログからの読み取りを行うときに、イベント ログ サービスがリソースの検索に使用する情報が含まれます。

Eventlog キーの構造は次のとおりです。

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

ドメイン コントローラーは ディレクトリ サービス のイベントを記録し、 ファイル レプリケーション サービス ログと DNS サーバーは DNS サーバーのイベントを記録します。

各ログには、次のレジストリ値を含めることができます。

レジストリ値 説明
CustomSD イベント ログへのアクセスを制限します。 この値は REG_SZ 型です。 使用される形式は 、セキュリティ記述子定義言語 (SDDL) です。 次の 1 つ以上の権限を付与する ACL を構築します。
Clear (0x0004)
読み取り (0x0001)
書き込み (0x0002)
構文上有効な SDDL にするには、CustomSD 値で所有者とグループ所有者 (O:BAG:SY など) を指定する必要がありますが、所有者とグループ所有者は使用されません。 CustomSD が間違った値に設定されている場合、イベント ログ サービスの開始時にシステム イベント ログでイベントが発生し、イベント ログはアプリケーション ログの元の CustomSD 値と同じ既定のセキュリティ記述子を取得します。 SACL はサポートされていません。
詳細については、「 イベント ログ セキュリティ」を参照してください。
Windows Server 2003: SACL はサポートされています。
Windows XP/2000: この値はサポートされていません。
DisplayNameFile この値は使用されません。 Windows Server 2003 および Windows XP/2000: イベント ログのローカライズされた名前を格納するファイルの名前。 このファイルに格納されている名前は、イベント ビューアーのログ名として表示されます。 このエントリがイベント ログのレジストリに表示されない場合、イベント ビューアーはレジストリ サブキーの名前をログ名として表示します。 この値は REG_EXPAND_SZ 型です。 既定値は %SystemRoot%\system32\els.dll です。
DisplayNameID この値は使用されません。 Windows Server 2003 および Windows XP/2000: ログ名文字列のメッセージ識別番号。 この番号は、ローカライズされた表示名が表示されるメッセージを示します。 メッセージは、 DisplayNameFile 値で指定されたファイルに格納されます。 この値は REG_DWORD 型です。
[最近使ったファイル] 各イベント ログが格納されているファイルへの完全修飾パス。 これにより、イベント ビューアーやその他のアプリケーションでログ ファイルを検索できます。 この値の型は、REG_SZまたはREG_EXPAND_SZです。 この値は省略可能です。 値が指定されていない場合、既定では %SystemRoot%\system32\winevt\logs\ の後に、イベント ログ レジストリ キー名に基づくファイル名が続きます。特定のイベント ログ ファイルのパスは、コマンド ライン ユーティリティ wevtutil.exeを使用するか、EvtChannelLoggingConfigLogFilePath を PropertyId パラメーターに渡して EvtSetChannelConfigProperty 関数を使用して設定する必要があります。
特定のファイルが設定されている場合は、イベント ログ サービスにファイルに対する完全なアクセス許可があることを確認します。
この値は、ローカル ディレクトリにあるファイルの有効なファイル名である必要があります (リモート コンピューターではなく、DOS デバイスではなく、フロッピーではなく、パイプではありません)。 ファイル設定が間違っている場合は、イベント ログ サービスの開始時にシステム イベント ログでイベントが発生します。
イベント ログ サービスのコンテキストで展開できない環境変数は、ファイルへのパスでは使用しないでください。
Windows Server 2003 および Windows XP/2000: この値の既定値は 、%SystemRoot%\system32\config\ の後に、イベント ログ レジストリ キー名に基づくファイル名が続きます。 [ファイル] 設定が無効な値に設定されている場合、ログは正しく初期化されないか、すべての要求が既定のログ (アプリケーション) に自動的に移動します。
MaxSize ログ ファイルの最大サイズ (バイト単位)。 この値は REG_DWORD 型です。 この値は、システム、アプリケーション、またはセキュリティ ログに対して 64K の倍数に設定する必要があります。 既定値は 1 MB です。Windows Server 2003 および Windows XP/2000: 値は0xFFFFFFFFに制限され、既定値は 512K です。
PrimaryModule この値は使用されません。Windows Server 2003 および Windows XP/2000: この値は、イベント ソースのサブキーのエントリの既定値を含むサブキーの名前です。 この値は REG_SZ 型です。
保持 この値は REG_DWORD 型です。 既定値は 0 です。 この値が 0 の場合、イベントのレコードは常に上書きされます。 この値が0xFFFFFFFFまたは 0 以外の値の場合、レコードは上書きされません。 ログ ファイルが最大サイズに達したら、ログを手動でクリアする必要があります。それ以外の場合、新しいイベントは破棄されます。 また、ログのサイズを変更する前に、ログをクリアする必要があります。Windows Server 2003 および Windows XP/2000: この値は、イベントのレコードが上書きされないように保護される時間間隔 (秒単位) です。 イベントの経過時間がこの値に達または超えると、上書きされる可能性があります。
Sources この値は使用されません。 Windows Server 2003 および Windows XP/2000: このログにイベントを書き込むアプリケーション、サービス、またはアプリケーションのグループの名前。 この値は読み取り専用で、変更しないでください。 イベント ログ サービスは、ログの下のサブキーに一覧表示されている各プログラムに基づいてリストを保持します。 この値は REG_MULTI_SZ 型です。
AutoBackupLogFiles この値は REG_DWORD 型であり、イベント ログ を自動的に保存するかどうかを判断するためにイベント ログ サービスによって使用されます。 既定値は 0 で、自動バックアップを無効にします。 保持値が -1 (0xFFFFFFFF) の場合にのみ、サービスによってログ ファイルがバックアップされます。 その他の値は無視されます。Windows Server 2003: AutoBackupLogFiles を機能させるには、保持期間を -1 (0xFFFFFFFF) または 1 (0x00000001) に設定できます。 その他の値は無視されます。
RestrictGuestAccess この値は使用されません。 Windows XP/2000: この値は REG_DWORD 型で、既定値は 1 です。 値を 1 に設定すると、イベント ログへのゲスト アカウントと匿名アカウントのアクセスが制限され、この値が 0 の場合は、ゲスト アカウントからイベント ログへのアクセスが許可されます。
分離 ログの既定のアクセス許可を定義します。 この値は REG_SZ 型です。 次のいずれかの値を指定できます。
  • アプリケーション
  • システム
  • Custom
既定の分離は Application ですアプリケーションの既定のアクセス許可は (SDDL を使用して表示されます) です。
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
System の既定のアクセス許可は (SDDL を使用して表示されます) です。
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
カスタム分離の既定のアクセス許可は、アプリケーションと同じです。
Windows Server 2003 および Windows XP/2000: この値は使用できません。

各ログには、イベント ソースも含まれています。 詳細については、「 イベント ソース」を参照してください。