Параметры журнала безопасности Windows NT и Windows 2000

Чтобы изменить расположение журнала событий безопасности Windows NT или Windows 2000, вы можете
используйте средство просмотра событий, чтобы косвенно изменить реестр или применить реестр
взломать напрямую:

Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Файл
Тип: REG_EXAND_SZ
Значение: %SystemRoot%system32configSecEvent.Evt по умолчанию

Реестры Appication и System следуют одному и тому же шаблону. Используйте это, чтобы изменить
где хранятся журналы. Эти ключи дают вам возможность поместить его
где угодно.

Чтобы изменить максимальный размер события безопасности Windows NT или Windows 2000
log (в килобайтах), вы можете использовать средство просмотра событий для косвенного изменения
реестр или применить взлом реестра напрямую:

Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Максимальный размер
Тип: REG_DWORD
Значение: 512
по умолчанию=512К

Чтобы изменить срок хранения событий безопасности для Windows NT или
Файл журнала событий безопасности Windows 2000 (в секундах), который можно использовать в средстве просмотра событий.
чтобы косвенно изменить реестр или применить взлом реестра напрямую:

Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Удержание
Тип: REG_DWORD
Значение: 604 800 по умолчанию (секунд)
Удержание - это как долго
события должны поддерживаться. Старые события могут быть перезаписаны, но новые события
не может. Если в журнал необходимо записать новое событие (безопасность, приложение или
system) и достигнут максимальный размер И нет событий старше
периода хранения, происходит событие полного журнала.

Чтобы определить, включены ли события безопасности и какие службы и
приложениям разрешено записывать в журнал безопасности, просмотрите значение Sources
который является динамическим и поддерживается службой EventLog:

Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity
Имя:
Источники
Тип: REG_EXAND_SZ

Фактические сообщения об ошибках, записанные в журналах событий, поступают для системы или
библиотеки DLL приложений. Значение CategoryMessageFile содержит путь и имя файла.
файла, содержащего описания категорий для журнала событий безопасности
События:

Куст: HKEY_LOCAL_MACHINE
Ключ: SYSTEMCurrentControlSetServicesEventLogSecurity[ имя приложения ]
Имя:
КатегорияСообщениеФайл
Тип: REG_EXAND_SZ

EventMessageFile, похоже, следует точно такому же шаблону.

Из этих эзотерических настроек вытекает важный вывод.
файлы сообщений считываются из DLL. Если вы делаете резервную копию журнала событий в родном.evt
отформатировать и восстановить позже (скажем, после пакета обновлений), текст сообщения
отображаемое вполне могло измениться.

Советы по журналу событий:

Архивирование журналов событий
Объяснение журнала событий
Как удалить поврежденные файлы журнала просмотра событий
Судебная экспертиза: CrashOnAuditFail
Ограничить доступ к журналам приложений и системных событий
Описание событий безопасности
События безопасности Определения типов входа в систему
Расположение журнала безопасности
Подавить сообщения журнала событий браузера
Подавить Предотвратить регистрацию заданий на печать
Системные события в NT4 SP4
Аутентификация пользователя в Windows NT
Права пользователя, определение и список

Фрэнк Хейн сделал
доступен FAQ по журналу событий Windows NT.