Compartilhar via


Tecla Eventlog

O log de eventos contém os seguintes logs padrão, bem como logs personalizados:

Log Descrição
Aplicativo Contém eventos registrados por aplicativos. Por exemplo, um aplicativo de banco de dados pode registrar um erro de arquivo. O desenvolvedor do aplicativo decide quais eventos gravar.
Segurança Contém eventos como tentativas de logon válidas e inválidas, bem como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Um administrador pode iniciar a auditoria para registrar eventos no log de segurança.
System Contém eventos registrados por componentes do sistema, como a falha de um driver ou outro componente do sistema para carregar durante a inicialização.
CustomLog Contém eventos registrados por aplicativos que criam um log personalizado. O uso de um log personalizado permite que um aplicativo controle o tamanho do log ou anexe ACLs para fins de segurança sem afetar outros aplicativos.

O serviço de registro em log de eventos usa as informações armazenadas na chave do Registro do Eventlog . A chave Eventlog contém várias subchaves, chamadas logs. Cada log contém informações que o serviço de log de eventos usa para localizar recursos quando um aplicativo grava e lê do log de eventos.

A estrutura da chave eventlog é a seguinte:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

Observe que os controladores de domínio registram eventos no serviço diretório e os logs do serviço replicação de arquivos e os servidores DNS registram eventos no servidor DNS.

Cada log pode conter os seguintes valores de registro.

Valor do Registro Descrição
Customsd Restringe o acesso ao log de eventos. Esse valor é do tipo REG_SZ. O formato usado é SDDL ( Linguagem de Definição de Descritor de Segurança ). Construa uma ACL que conceda um ou mais dos seguintes direitos:
Limpar (0x0004)
Leitura (0x0001)
Gravação (0x0002)
Para ser um SDDL sintaticamente válido, o valor CustomSD deve especificar um proprietário e um proprietário de grupo (por exemplo, O:BAG:SY), mas o proprietário e o proprietário do grupo não são usados. Se CustomSD for definido como um valor incorreto, um evento será acionado no log de eventos do sistema quando o serviço de log de eventos for iniciado e o log de eventos obterá um descritor de segurança padrão que é idêntico ao valor original de CustomSD para o log do aplicativo. Não há suporte para SACLs.
Para obter mais informações, consulte Segurança de log de eventos.
Windows Server 2003: Há suporte para SACLs.
Windows XP/2000: Não há suporte para esse valor.

DisplayNameFile Este valor não é usado. Windows Server 2003 e Windows XP/2000: Nome do arquivo que armazena o nome localizado do log de eventos. O nome armazenado nesse arquivo aparece como o nome do log no Visualizador de Eventos. Se essa entrada não aparecer no registro de um log de eventos, Visualizador de Eventos exibirá o nome da subchave do Registro como o nome do log. Esse valor é do tipo REG_EXPAND_SZ. O valor padrão é %SystemRoot%\system32\els.dll.
DisplayNameID Este valor não é usado. Windows Server 2003 e Windows XP/2000: Número de identificação de mensagem da cadeia de caracteres de nome de log. Esse número indica a mensagem na qual o nome de exibição localizado é exibido. A mensagem é armazenada no arquivo especificado pelo valor DisplayNameFile . Esse valor é do tipo REG_DWORD.
Arquivo Caminho totalmente qualificado para o arquivo em que cada log de eventos é armazenado. Isso permite que Visualizador de Eventos e outros aplicativos encontrem os arquivos de log. Esse valor é do tipo REG_SZ ou REG_EXPAND_SZ. Esse valor é opcional. Se o valor não for especificado, o padrão será %SystemRoot%\system32\winevt\logs\ seguido por um nome de arquivo baseado no nome da chave do Registro do log de eventos. O caminho do arquivo de log de eventos específico deve ser definido usando o utilitário de linha de comando wevtutil.exe ou usando a função EvtSetChannelConfigProperty com EvtChannelLoggingConfigLogFilePath passado para o parâmetro PropertyId .
Se um arquivo específico estiver definido, verifique se o serviço de log de eventos tem permissões completas no arquivo.
Esse valor precisa ser um nome de arquivo válido para um arquivo localizado em um diretório local (não em um computador remoto, não em um dispositivo DOS, não em um disquete e não em um pipe). Se a configuração do arquivo estiver errada, um evento será acionado no log de eventos do sistema quando o serviço de log de eventos for iniciado.
Não use variáveis de ambiente, no caminho para o arquivo, que não podem ser expandidas no contexto do serviço de log de eventos.
Windows Server 2003 e Windows XP/2000: Esse valor assume como padrão %SystemRoot%\system32\config\ seguido por um nome de arquivo baseado no nome da chave do registro do log de eventos. Se a configuração Arquivo for definida como um valor inválido, o log não será inicializado corretamente ou todas as solicitações irão silenciosamente para o log padrão (Aplicativo).
Maxsize Tamanho máximo, em bytes, do arquivo de log. Esse valor é do tipo REG_DWORD. O valor deve ser definido como um múltiplo de 64K para um log de Sistema, Aplicativo ou Segurança. O valor padrão é 1 MB. Windows Server 2003 e Windows XP/2000: O valor é limitado a 0xFFFFFFFF e o valor padrão é 512K.
PrimaryModule Esse valor não é usado. Windows Server 2003 e Windows XP/2000: Esse valor é o nome da subchave que contém os valores padrão para as entradas na subchave da origem do evento. Esse valor é do tipo REG_SZ.
Retenção Esse valor é do tipo REG_DWORD. O valor padrão é 0. Se esse valor for 0, os registros de eventos serão sempre substituídos. Se esse valor for 0xFFFFFFFF ou qualquer valor diferente de zero, os registros nunca serão substituídos. Quando o arquivo de log atinge seu tamanho máximo, você deve limpar o log manualmente; caso contrário, novos eventos serão descartados. Você também deve limpar o log antes de alterar seu tamanho. Windows Server 2003 e Windows XP/2000: Esse valor é o intervalo de tempo, em segundos, em que os registros de eventos são protegidos contra serem substituídos. Quando a idade de um evento atinge ou excede esse valor, ele pode ser substituído.
Fontes Este valor não é usado. Windows Server 2003 e Windows XP/2000: Nomes dos aplicativos, serviços ou grupos de aplicativos que gravam eventos nesse log. Esse valor só deve ser lido e não alterado. O serviço de log de eventos mantém a lista com base em cada programa listado em uma subchave no log. Esse valor é do tipo REG_MULTI_SZ.
AutoBackupLogFiles Esse valor é do tipo REG_DWORD e é usado pelo serviço de log de eventos para determinar se um log de eventos deve ser salvo automaticamente. O valor padrão é 0, que desabilita o backup automático. O serviço fará backup do arquivo de log somente se o valor de retenção for -1 (0xFFFFFFFF). Outros valores serão ignorados. Windows Server 2003: A retenção pode ser definida como -1 (0xFFFFFFFF) ou 1 (0x00000001) para que AutoBackupLogFiles funcione. Outros valores serão ignorados.
RestrictGuestAccess Este valor não é usado. Windows XP/2000: Esse valor é do tipo REG_DWORD e o valor padrão é 1. Quando o valor é definido como 1, ele restringe o acesso da conta Convidado e Anônimo ao log de eventos e, quando esse valor é 0, ele permite o acesso da conta de convidado ao log de eventos.
Isolamento Define as permissões de acesso padrão para o log. Esse valor é do tipo REG_SZ. É possível especificar um dos seguintes valores:
  • Aplicativo
  • System
  • Personalizado
O isolamento padrão é Application. As permissões padrão para o Aplicativo são (mostradas usando SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read) 
As permissões padrão para System são (mostradas usando SDDL):
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
As permissões padrão para Isolamento personalizado são as mesmas do Aplicativo.
Windows Server 2003 e Windows XP/2000: Esse valor não está disponível.

Cada log também contém fontes de eventos. Para obter mais informações, consulte Origens do evento.