Origens de eventos

Cada log na chave Eventlog contém subchaves chamadas fontes de evento. A origem do evento é o nome do software que registra o evento em log. Geralmente, ele é o nome do aplicativo ou o nome de um subcomponente do aplicativo se o aplicativo for grande. Você pode adicionar no máximo 16.384 fontes de evento ao registro. O log de segurança é somente para uso do sistema. Os drivers de dispositivo devem adicionar seus nomes ao log do sistema . Aplicativos e serviços devem adicionar seus nomes ao log de aplicativos ou criar um log personalizado.

A estrutura das fontes de evento é a seguinte:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            EventLog
               Application
                  AppName
               Security
               System
                  DriverName
               CustomLog
                  AppName

Você não pode usar um nome de origem que já tenha sido usado como um nome de log. Além disso, os nomes de origem não podem ser hierárquicos; ou seja, eles não podem conter o caractere de barra invertida ("\").

Cada fonte de evento contém informações (como um arquivo de mensagem) específicas para o software que registrará os eventos em log, conforme mostrado na tabela a seguir.

Valor do Registro Descrição
Categorycount Número de categorias de evento com suporte. Esse valor é do tipo REG_DWORD.
CategoryMessageFile Caminho para o arquivo de mensagem de categoria. Um arquivo de mensagem de categoria contém cadeias de caracteres dependentes de idioma que descrevem as categorias. Esse valor pode ser do tipo REG_SZ ou REG_EXPAND_SZ.
EventMessageFile Caminho para um ou mais arquivos de mensagem de evento; use um ponto e vírgula para delimitar vários arquivos. Um arquivo de mensagem de evento contém cadeias de caracteres dependentes de idioma que descrevem os eventos. Esse valor pode ser do tipo REG_SZ ou REG_EXPAND_SZ.
ParameterMessageFile Caminho para o arquivo de mensagem de parâmetro. Um arquivo de mensagem de parâmetro contém cadeias de caracteres independentes de idioma que devem ser inseridas nas cadeias de caracteres de descrição do evento. Esse valor pode ser do tipo REG_SZ ou REG_EXPAND_SZ.
Tipos Com suporte Máscara de bits de tipos com suporte. Esse valor é do tipo REG_DWORD. Pode ser um ou mais dos seguintes valores:
EVENTLOG_AUDIT_FAILURE (0x0010)
EVENTLOG_AUDIT_SUCCESS (0x0008)
EVENTLOG_ERROR_TYPE (0x0001)
EVENTLOG_INFORMATION_TYPE (0x0004)
EVENTLOG_WARNING_TYPE (0x0002)

 

Quando um aplicativo usa a função RegisterEventSource ou OpenEventLog para obter um identificador para um log de eventos, o serviço de log de eventos pesquisa a origem do evento especificada no registro. Por exemplo, o log de aplicativos pode conter fontes de eventos para Microsoft SQL Server e Microsoft Excel. Se um aplicativo usar RegisterEventSource ou OpenEventLog com um nome de origem de Application, SQL ou Excel, o serviço de registro em log de eventos retornará um identificador para o log do aplicativo .

Um aplicativo pode usar o log de aplicativos sem adicionar uma nova origem de evento ao registro. Se o aplicativo chamar RegisterEventSource e passar um nome de origem que não pode ser encontrado no registro, o serviço de registro em log de eventos usará o log de aplicativos por padrão. No entanto, como não há arquivos de mensagem, o Visualizador de Eventos não pode mapear nenhum identificador de evento ou categorias de evento para uma cadeia de caracteres de descrição e exibirá um erro. Por esse motivo, você deve adicionar uma fonte de evento exclusiva ao registro do aplicativo e especificar um arquivo de mensagem.