Event Logging 技术简介
事件类型
|
描述
|
信息
(Information)
|
信息事件指很少发生但重要的成功操作。例如, 当Microsoft® SQL Server™ 成功加载后,它可以记录一条信息日志"SQL Server has started."。注意,当每次系统启动记录事件时,适用于主要的服务器服务,不适用于普通的桌面应用程序 (如:Microsoft® Excel)。
|
警告
(Warning)
|
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。资源消费是一个产生警告信息的很好的应用。例如, 一个应用程序可以在磁盘空间小时产生一个警告事件。如果应用程序可以在不丢失功能和数据的情况下从这一事件中恢复,那么这是一个典型的警告事件。
|
错误
(Error)
|
错误事件指用户应该知道的主要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
|
成功审核
(Success audit)
|
成功审核事件是安全事件,它在一个要被审核的访问,访问成功时产生。例如,成功登陆可以产生成功审核事件。
|
失败审核
(Failure audit)
|
失败审核事件是安全事件,它在一个要被审核的访问,访问失败时产生。例如,打开文件失败可以产生失败审核事件。
|
SYSTEM
CurrentControlSet
Services
EventLog
Application
Security
System
CustomLog
名称
|
类型
|
描述
|
File
|
REG_EXPAND_SZ
|
日志文件的路径名。路径名中可以包含环境变量,当包含环境变量时,需要将文件路径重新定位。如:%SystemRoot%/system32/config/
AppEvent.Evt
|
MaxSize
|
REG_DWORD
|
指日志文件增长所能达到的最大物理大小。这个值的增长粒度必须是64KB(0x00010000)。如果这个值不是64K的边界值(即被64K正除),那么该值将被自动对准到下一个64K的边界值。该值默认为512KB
|
PrimaryModule
|
REG_EXPAND_SZ
|
运用日志文件的主要模块(事件源)的名字。该值只在日志文件是Security时使用。
|
RestrictGuestAccess
|
REG_DWORD
|
客人和NULL帐号在默认情况下可以访问Application和Systeme事件日志,如果将该值设为1可以阻止它们的访问。Security事件日志总是被保护,不允许客人与NULL帐号的访问。
|
Retention
|
REG_DWORD
|
该值表示事件日志保持的时间。当该值为0x00000000时表示按需要覆盖重写日志。当该值为0xffffffff时表示不允许覆盖重写日志。其他值均被解释为覆盖“N”天前的日志。天是用秒来表示的(0x00015180表示一天,0x01e13380表示365天)。该值的增长粒度为86400,当数据不规则时需要进行对齐。默认的值为0x00093a80(7天)
|
Sources
|
REG_MULTI_SZ
|
所有注册到日志文件下的事件源的链表。所有的事件源的名字之间以字符NULL分隔。链表最后以两个NULL终止。链表的最后一个名字是日志文件的名字,当有新的事件源加入时,进行自动调整。
|
名称
|
类型
|
描述
|
Length
|
DWORD
|
事件记录的大小,单位字节。该长度包括在事件日志记录结尾加入的用于DWORD对齐的补丁字节。该长度最小56字节。
|
Reserved
|
DWORD
|
保留
|
RecordNumber
|
DWORD
|
记录的序号。这个值可以用于当标志设为EVENTLOG_SEEK_READ时,ReadEventLog函数从指定的记录开始读取。
|
TimeGenerated
|
DWORD
|
条目被提交的时间。指从00:00:00 January 1, 1970(UTC)开始到当前的秒数。
|
TimeWritten
|
DWORD
|
条目被Event-logging服务写如日志文件的时间。指从00:00:00 January 1, 1970(UTC)开始到当前的秒数。
|
EventID
|
DWORD
|
事件标识号。该值被事件的事件源描述为事件的源名字,用它来定位事件源的消息文件中的源名字符串。
|
EventType
|
WORD
|
事件的类型。在EVENT LOGGING事件类型中有介绍。
|
NumStrings
|
WORD
|
日志中的字符串的个数。这些字符串在StringOffset所指的位置。它们将在显示给用户之前被组成消息。
|
EventCategory
|
WORD
|
事件的分类。这个指依赖于事件源。
|
ReservedFlags
|
WORD
|
保留
|
ClosingRecordNumber
|
DWORD
|
保留
|
StringOffset
|
DWORD
|
事件日志记录中的描述字符串的偏移。
|
UserSidLength
|
DWORD
|
UserSid的字节大小。当没有提供安全标识时,该值为0
|
UserSidOffset
|
DWORD
|
事件日志记录中的安全标识(SID)的偏移。可以通过LookupAccountSid函数有SID获得用户名。
|
DataLength
|
DWORD
|
事件日志记录中事件细节数据的字节大小。
|
DataOffset
|
DWORD
|
事件日志记录中事件细节数据的偏移。
|
写入事件日志文件的第一条日志的RecordNumber为1,后面的日志序号依次递增。当日志文件达到最大限制并允许覆盖重写时,最早被写入的日志文件的日志序号就不是1了。可以用GetOldestEventLogRecord函数获得最老的日志记录的序号,然后调用GetNumberOfEventLogRecords函数来获得日志数据。
SYSTEM
CurrentControlSet
Services
EventLog
Application
AppName
Security
System
DriverName
CustomLog
AppName
名称
|
类型
|
描述
|
CategoryCount
|
REG_DWORD
|
描述事件种类的数目。(可没有该值)
|
CategoryMessageFile
|
REG_EXPAND_SZ
|
描述种类消息(Message)文件的路径。种类消息文件中包含着语言相关的种类字符串。该字段可以包含多个文件,文件间用‘;’号分隔。(可没有该值)
|
DisplayNameFile
|
REG_EXPAND_SZ
|
描述存放事件日志本地化名字的文件。当该值不存在时,日志文件子键即为该值。
Windwos NT不支持该值。
|
DisplayNameID
|
REG_DWORD
|
事件日志名在消息文件中的消息标识号。消息文件的名字存储在DisplayNameFile值中。
Windwos NT不支持该值。
|
EventMessageFile
|
REG_EXPAND_SZ
|
描述事件消息(Message)文件的路径。事件消息文件中包含着语言相关的事件字符串。该字段可以包含多个文件,文件间用‘;’号分隔。该值必须存在,并且必须至少有一个文件。
|
ParameterMessageFile
|
REG_EXPAND_SZ
|
描述参数消息(Message)文件的路径。参数消息文件中包含着语言相关的参数字符串。该字段可以包含多个文件,文件间用‘;’号分隔。
(可没有该值)
|
TypesSupported
|
REG_DWORD
|
这是一个位掩码值,表示事件源支持的事件的类型,可以有以下值:
EVENTLOG_ERROR_TYPE0x0001
EVENTLOG_WARNING_TYPE 0x0002 EVENTLOG_INFORMATION_TYPE 0x0004 EVENTLOG_AUDIT_SUCCESS 0x0008 EVENTLOG_AUDIT_FAILURE 0x0010 |
当应用程序用RegisterEventSource或OpenEventLog函数去获得事件日志句柄时,Event-logging服务会在注册表中查找事件源。例如:在Application日志文件中可能有Microsoft SQL Server 和 Microsoft Excel的事件源。当RegisterEventSource或OpenEventLog打开Application日志文件中的事件源SQL或Excel时,Event-logging服务回返回Application日志文件的句柄。
01 – 信息
10 – 警告
11 – 错误
FACILITY_AAF
FACILITY_CERT
FACILITY_COMPLUS
FACILITY_CONTROL
FACILITY_DISPATCH
FACILITY_INTERNET
FACILITY_ITF
FACILITY_MEDIASERVER
FACILITY_MSMQ
FACILITY_RPC
FACILITY_SCARD
FACILITY_SECURITY
FACILITY_SETUPAPI
FACILITY_SSPI
FACILITY_STORAGE
FACILITY_URT
FACILITY_WIN32
FACILITY_WINDOWS
操作
|
函数
|
备份(Backup)
|
BackupEventLog
|
清除(Clear)
|
ClearEventLog
|
监控(Monitor)
|
NotifyChangeEventLog
|
查询(Query)
|
GetOldestEventLogRecord,GetNumberOfEventLogRecords
|
读(Read)
|
ReadEventLog
|
写(Write)
|
ReportEvent
|
Log
|
Account
|
Access
|
|
|
Application
|
LocalSystem
|
Read
|
Write
|
Clear
|
Administrator
|
Read
|
Write
|
Clear
|
|
ServerOp
|
Read
|
Write
|
Clear
|
|
World
|
Read
|
Write
|
||
System
|
LocalSystem
|
Read
|
Write
|
Clear
|
Administrator
|
Read
|
Write
|
Clear
|
|
ServerOp
|
Read
|
Clear
|
||
World
|
Read
|
Event Logging 技术简介相关推荐
- Event Logging 技术简介(转载)
1. EVENT LOGGING概述 当错误发生时,系统管理员或技术支持需要知道错误原因是什么,如何恢复丢失数据和阻止错误复现. WINDOWS的Event-logging服务为此提供了解决方 ...
- [转] Windows完成端口与Linux epoll技术简介
Windows完成端口与Linux epoll技术简介 2008-01-03 16:18 WINDOWS完成端口编程1.基本概念 2.WINDOWS完成端口的特点 3.完成端口(Completion ...
- 干货分享 | spdk技术简介和一些实践经验
01 导读 与机械硬盘相比,NVMe-ssd在性能.功耗和密度上都有巨大的优势,并且随着固态存储介质的高速发展,其价格也在大幅下降,这些优势使得NVMe-ssd在分布式存储中使用越来越广泛.由于NVM ...
- Html5版本的全套股票行情图开源了,附带实现技术简介
Html5版本的全套股票行情图开源了,附带实现技术简介 - 玉开 - 博客园 Html5版本的全套股票行情图开源了,附带实现技术简介 请使用支持html5的浏览器查看,推荐使用google chrom ...
- 【字节码插桩】AOP 技术 ( “字节码插桩“ 技术简介 | AspectJ 插桩工具 | ASM 插桩工具 )
文章目录 一." 字节码插桩 " 技术简介 二.AspectJ 插桩工具 三.ASM 插桩工具 一." 字节码插桩 " 技术简介 性能优化 , 插件化 , 热修 ...
- AI之NLP:自然语言处理技术简介(是什么/学什么/怎么用)、常用算法、经典案例之详细攻略(建议收藏)
AI之NLP:自然语言处理技术简介(是什么/学什么/怎么用).常用算法.经典案例之详细攻略(建议收藏) 目录 NLP是什么? 1.NLP前置技术解析 2.python中NLP技术相关库 3.NLP案例 ...
- Py之logging:logging的简介、安装、使用方法之详细攻略
Py之logging:logging的简介.安装.使用方法之详细攻略 目录 logging的简介 logging的安装 logging的使用方法 logging的简介 Python引入了logging ...
- java相关技术简介_java技术简介?
java技术简介? 关注:186 答案:3 信息版本:手机版 电脑版 解决时间 2021-01-17 11:41 提问者坟地里唱嗨歌 2021-01-17 01:04 java技术简介? 最佳答案 ...
- python云计算开发技术_云计算开发学习笔记:Python3 面向对象技术简介
来源:TechWeb.com.cn Python从设计之初就已经是一门面向对象的语言,正因为如此,在Python中创建一个类和对象是很容易的.本章节我们将详细介绍Python的面向对象编程. 如果你以 ...
最新文章
- 【PC工具】更新github下载加速器,github项目辅助下载工具,github高速下载
- 从0到1,关于产品冷启动阶段。
- PL/SQL 基础( 上 )
- 2018年第九届蓝桥杯 - 国赛 - C/C++大学B组 - B. 激光样式
- Sumsets POJ - 2229(计数dp)
- 科技英语翻译计算机化考试,2017年英语四级翻译范文之考公热
- iOS 程序 main函数之前发生什么
- EasyUI form ajax submit到MVC后,在IE下提示下载内容的解决办法
- 【论文】动态贝叶斯网络用于时序建模及动作分类
- 如何变更 Git 服务器 IP 地址以及变更后的解决方法
- 手机号归属地能改吗?支付及通讯行业怎么看?
- 一级计算机能用计算器吗,中级会计师考试机考可以用电脑上的计算器吗?
- Lammps模拟剪切作用下的位错滑移
- K9s之Kubernetes集群管理交互工具实践
- 2022最全最细软件测试工程师的职业规划和职业发展【入门篇】
- c# 计算圆锥的体积_求帮忙写一道c#题目 :编写一个c#程序计算球、圆柱和圆锥的表面积和体积。...
- python 矩阵 将所有列向量合并成一个向量 将虚数矩阵转化为实数矩阵
- 北京邮电大学自考计算机试题及答案,6所北京高校在河南拟招630人 28个自考专业停考...
- windows彻底卸载python的方法
- 三星遭遇瘸腿格局:手机依赖症拖垮业绩
热门文章
- 知乎回答:为什么微博很难起到社交的作用?
- CV学习笔记-图像滤波器
- Matlab常用的标记符号和颜色
- 【ROS学习笔记】(八)服务数据的定义与使用
- 【RobotStudio学习笔记】(九)坐标偏移设置
- C++动态类型与静态类型
- android double值排序,android根据Double类型数据经纬度算出距离再根据距离实现排序功能...
- vs附加其它计算机应用到进程,如何将VS代码附加到在docker容器中运行的节点进程...
- 原生编辑器_微信小程序 广告原生模板广告
- mysql查询触发器_mysql查看所有触发器以及存储过程等操作集合【转】