Настройки журнала безопасности
Чтобы изменить расположение журнала событий безопасности Windows NT или Windows 2000, вы можете
используйте средство просмотра событий, чтобы косвенно изменить реестр или применить реестр
взломать напрямую:
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Файл
Тип: REG_EXAND_SZ
Значение: %SystemRoot%system32configSecEvent.Evt по умолчанию
Реестры Appication и System следуют одному и тому же шаблону. Используйте это, чтобы изменить
где хранятся журналы. Эти ключи дают вам возможность поместить его
где угодно.
Чтобы изменить максимальный размер события безопасности Windows NT или Windows 2000
log (в килобайтах), вы можете использовать средство просмотра событий для косвенного изменения
реестр или применить взлом реестра напрямую:
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Максимальный размер
Тип: REG_DWORD
Значение: 512
по умолчанию=512К
Чтобы изменить срок хранения событий безопасности для Windows NT или
Файл журнала событий безопасности Windows 2000 (в секундах), который можно использовать в средстве просмотра событий.
чтобы косвенно изменить реестр или применить взлом реестра напрямую:
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Удержание
Тип: REG_DWORD
Значение: 604 800 по умолчанию (секунд)
Удержание - это как долго
события должны поддерживаться. Старые события могут быть перезаписаны, но новые события
не может. Если в журнал необходимо записать новое событие (безопасность, приложение или
system) и достигнут максимальный размер И нет событий старше
периода хранения, происходит событие полного журнала.
Чтобы определить, включены ли события безопасности и какие службы и
приложениям разрешено записывать в журнал безопасности, просмотрите значение Sources
который является динамическим и поддерживается службой EventLog:
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Источники
Тип: REG_EXAND_SZ
Фактические сообщения об ошибках, записанные в журналах событий, поступают для системы или
библиотеки DLL приложений. Значение CategoryMessageFile содержит путь и имя файла.
файла, содержащего описания категорий для журнала событий безопасности
События:
Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity[ имя приложения ]
Имя:
КатегорияСообщениеФайл
Тип: REG_EXAND_SZ
EventMessageFile, похоже, следует точно такому же шаблону.
Из этих эзотерических настроек вытекает важный вывод.
файлы сообщений считываются из DLL. Если вы делаете резервную копию журнала событий в родном.evt
отформатировать и восстановить позже (скажем, после пакета обновлений), текст сообщения
отображаемое вполне могло измениться.
Frank Heyne опубликовал часто задаваемые вопросы по журналу событий Windows NT.