Читаем Windows Vista. Для профессионалов полностью

Windows Vista. Для профессионалов

• Retention – этот параметр REG_DWORD-типа определяет интервал времени (в часах), по истечении которого операционная система будет очищать содержимое журнала, основанного на данном канале. Значение данного параметра равно 0, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Переписывать события при необходимости. В остальных случаях значение данного параметра равно 0xf f f f f f f f.

• Type – параметр имеет REG_DWORD-тип и определяет, будет ли отображаться журнал в оснастке eventvwr.msc. Если значение данного параметра равно 1, то журнал отображается. Если же значение данного параметра равно 2 или 3, то журнал в оснастке eventvwr. msс отображаться не будет, так как он используется для других целей. Например, таким способом скрыты журналы ADSI/ Debug, Alt-Tab/Diagnostic и т. д.

Однако в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows\ CurrentVersion\WINEVT\Channels содержатся сведения не обо всех каналах. Сведения о стандартных каналах (и стандартных журналах, которые их используют) хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ services\eventlog. В операционной системе Windows Vista к стандартным каналам относятся следующие: Приложение, События оборудования, Internet Explorer, Media Center, Безопасность и Система. Каждый из этих каналов имеет одноименный подраздел в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ s ervi се s\ event log. Эти подразделы могут хранить те же параметры, что и подразделы ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Miегоsoft\Windows\ CurrentVersion\WINEVT\Channels. Однако подразделы Application, Security и System также могут содержать следующие дополнительные параметры.

• DisplayNameFile – этот параметр строкового типа определяет путь к библиотеке, в которой хранится название журнала. Однако вместо библиотеки в нем можно указать само название журнала.

• DisplayNamelD – параметр имеет REG_DWORD-тип и определяет смещение в библиотеке, по которому хранится название журнала. Если в параметре

DisplayNameFile указано непосредственно название журнала, то этот параметр использовать необязательно.

• PrimaryModule – этот параметр строкового типа определяет название основного модуля операционной системы, который управляет работой данного стандартного журнала.

• RestrictGuestAccess – если значение данного параметра REG_DWORD-типа равно 1, то пользователь Гость не сможет получить доступ к содержимому данного журнала.

Подразделы Application, Security и System включают в себя вложенные подразделы, определяющие службы и программы, которые могут заносить записи в соответствующий журнал. Например, вы можете удалить некоторые из вложенных подразделов, чтобы записи от программ, которые описываются подразделами, не заносились в журнал.

Для примера попробуем создать свой собственный журнал, который будет отображаться в подразделе Журналы приложений и служб оснастки eventvwr.msc. Он будет называться Disk и содержать сведения о проверке жесткого диска, а также о квотах. В листинге 5.1 представлен пример REG-файла, который создает соответствующий журнал. После импортирования приведенного в листинге REG-файла сведения о проверке жесткого диска и изменении квот будут заноситься сразу в два журнала – Disk и Приложение. Если же нужно, чтобы сведения не заносились в журнал Приложение, то подразделы Chkdsk и DiskQuota нужно удалить из ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\ Application.