事件类型
|
描述
|
信息
(Information)
|
信息事件指很少发生但重要的成功操作。例如, 当Microsoft® SQL Server™ 成功加载后,它可以记录一条信息日志"SQL Server has started."。注意,当每次系统启动记录事件时,适用于主要的服务器服务,不适用于普通的桌面应用程序 (如:Microsoft® Excel)。 |
警告
(Warning)
|
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。资源消费是一个产生警告信息的很好的应用。例如, 一个应用程序可以在磁盘空间小时产生一个警告事件。如果应用程序可以在不丢失功能和数据的情况下从这一事件中恢复,那么这是一个典型的警告事件。 |
错误
(Error)
|
错误事件指用户应该知道的主要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。 |
成功审核
(Success audit)
|
成功审核事件是安全事件,它在一个要被审核的访问,访问成功时产生。例如,成功登陆可以产生成功审核事件。 |
失败审核
(Failure audit)
|
失败审核事件是安全事件,它在一个要被审核的访问,访问失败时产生。例如,打开文件失败可以产生失败审核事件。 |
名称
|
类型
|
描述
|
File
|
REG_EXPAND_SZ |
日志文件的路径名。路径名中可以包含环境变量,当包含环境变量时,需要将文件路径重新定位。如:%SystemRoot%/system32/config/
AppEvent.Evt
|
MaxSize
|
REG_DWORD | 指日志文件增长所能达到的最大物理大小。这个值的增长粒度必须是64KB(0x00010000)。如果这个值不是64K的边界值(即被64K正除),那么该值将被自动对准到下一个64K的边界值。该值默认为512KB |
PrimaryModule
|
REG_EXPAND_SZ | 运用日志文件的主要模块(事件源)的名字。该值只在日志文件是Security时使用。 |
RestrictGuestAccess
|
REG_DWORD | 客人和NULL帐号在默认情况下可以访问Application和Systeme事件日志,如果将该值设为1可以阻止它们的访问。Security事件日志总是被保护,不允许客人与NULL帐号的访问。 |
Retention
|
REG_DWORD | 该值表示事件日志保持的时间。当该值为0x00000000时表示按需要覆盖重写日志。当该值为0xffffffff时表示不允许覆盖重写日志。其他值均被解释为覆盖“N”天前的日志。天是用秒来表示的(0x00015180表示一天,0x01e13380表示365天)。该值的增长粒度为86400,当数据不规则时需要进行对齐。默认的值为0x00093a80(7天) |
Sources
|
REG_MULTI_SZ | 所有注册到日志文件下的事件源的链表。所有的事件源的名字之间以字符NULL分隔。链表最后以两个NULL终止。链表的最后一个名字是日志文件的名字,当有新的事件源加入时,进行自动调整。 |
名称
|
类型
|
描述
|
Length
|
DWORD | 事件记录的大小,单位字节。该长度包括在事件日志记录结尾加入的用于DWORD对齐的补丁字节。该长度最小56字节。 |
Reserved
|
DWORD | 保留 |
RecordNumber
|
DWORD | 记录的序号。这个值可以用于当标志设为EVENTLOG_SEEK_READ时,ReadEventLog函数从指定的记录开始读取。 |
TimeGenerated
|
DWORD | 条目被提交的时间。指从00:00:00 January 1, 1970(UTC)开始到当前的秒数。 |
TimeWritten
|
DWORD | 条目被Event-logging服务写如日志文件的时间。指从00:00:00 January 1, 1970(UTC)开始到当前的秒数。 |
EventID
|
DWORD | 事件标识号。该值被事件的事件源描述为事件的源名字,用它来定位事件源的消息文件中的源名字符串。 |
EventType
|
WORD | 事件的类型。在EVENT LOGGING事件类型中有介绍。 |
NumStrings
|
WORD | 日志中的字符串的个数。这些字符串在StringOffset所指的位置。它们将在显示给用户之前被组成消息。 |
EventCategory
|
WORD | 事件的分类。这个指依赖于事件源。 |
ReservedFlags
|
WORD | 保留 |
ClosingRecordNumber
|
DWORD | 保留 |
StringOffset
|
DWORD | 事件日志记录中的描述字符串的偏移。 |
UserSidLength
|
DWORD | UserSid的字节大小。当没有提供安全标识时,该值为0 |
UserSidOffset
|
DWORD | 事件日志记录中的安全标识(SID)的偏移。可以通过LookupAccountSid函数有SID获得用户名。 |
DataLength
|
DWORD | 事件日志记录中事件细节数据的字节大小。 |
DataOffset
|
DWORD | 事件日志记录中事件细节数据的偏移。 |
名称
|
类型
|
描述
|
CategoryCount
|
REG_DWORD | 描述事件种类的数目。(可没有该值) |
CategoryMessageFile
|
REG_EXPAND_SZ | 描述种类消息(Message)文件的路径。种类消息文件中包含着语言相关的种类字符串。该字段可以包含多个文件,文件间用‘;’号分隔。(可没有该值) |
DisplayNameFile
|
REG_EXPAND_SZ |
描述存放事件日志本地化名字的文件。当该值不存在时,日志文件子键即为该值。
Windwos NT不支持该值。
|
DisplayNameID
|
REG_DWORD |
事件日志名在消息文件中的消息标识号。消息文件的名字存储在DisplayNameFile值中。
Windwos NT不支持该值。
|
EventMessageFile
|
REG_EXPAND_SZ | 描述事件消息(Message)文件的路径。事件消息文件中包含着语言相关的事件字符串。该字段可以包含多个文件,文件间用‘;’号分隔。该值必须存在,并且必须至少有一个文件。 |
ParameterMessageFile
|
REG_EXPAND_SZ |
描述参数消息(Message)文件的路径。参数消息文件中包含着语言相关的参数字符串。该字段可以包含多个文件,文件间用‘;’号分隔。
(可没有该值)
|
TypesSupported
|
REG_DWORD |
这是一个位掩码值,表示事件源支持的事件的类型,可以有以下值:
EVENTLOG_ERROR_TYPE 0x0001
EVENTLOG_WARNING_TYPE 0x0002 EVENTLOG_INFORMATION_TYPE 0x0004 EVENTLOG_AUDIT_SUCCESS 0x0008 EVENTLOG_AUDIT_FAILURE 0x0010 |
操作
|
函数
|
备份(Backup) | BackupEventLog |
清除(Clear) | ClearEventLog |
监控(Monitor) | NotifyChangeEventLog |
查询(Query) | GetOldestEventLogRecord,GetNumberOfEventLogRecords |
读(Read) | ReadEventLog |
写(Write) | ReportEvent |
Log
|
Account
|
Access
|
|
|
Application | LocalSystem | Read | Write | Clear |
Administrator | Read | Write | Clear | |
ServerOp | Read | Write | Clear | |
World | Read | Write | ||
System | LocalSystem | Read | Write | Clear |
Administrator | Read | Write | Clear | |
ServerOp | Read | Clear | ||
World | Read |