EventCreate.exe создает значение "CustomSource", что это значит?
Командная строка EventCreate.exe инструмент регистрирует пользовательский источник событий в реестре для использования средством просмотра журнала событий Windows, например:
eventcreate /t INFORMATION /ID 100 /L "Application" /SO [SourceName] /D "Description"
Я написал приложение, которое имеет свои собственные строки ресурса журнала событий и зарегистрировано в качестве источника событий для MSDN, но оно не использует CustomSource ценность и работает отлично.
Я не могу найти документацию по MSDN или где-либо еще в Интернете, о том, что CustomSource предназначено именно для. Ни один из зарегистрированных источников на моих машинах не использует его.
Кто-нибудь знает что CustomSource для чего и как это работает? Это просто что-то внутреннее для EventCreate.exeили журнал событий Windows на самом деле использует его для чего-то?
1 ответ
Спасибо @RbMm за указание на эту статью в блоге:
По какой-либо причине EventCreate был разработан только для регистрации событий, связанных с источниками журнала событий, созданными EventCreate. Это делается путем добавления значения REG_DWORD, называемого
CustomSourceв ключе реестра источника, когда он создает новый источник, и проверяет это значение для источника, который уже существует. Таким образом, в приведенном выше примере, если источник "MyStuff" еще не существует в журнале приложений, приведенная выше команда создаст его и настроит ключ с помощьюCustomSourceзначение. Последующие вызовы EventCreate с тем же источником будут успешными после проверки существованияCustomSourceзначение. Однако, если источник "MyStuff" был создан с помощью другого механизма, который не создавал флаг CustomSource, например с помощью PowerShellNew-EventLogкомандлет, тогда вы получите сообщение об ошибке. Если вы создаетеCustomSourceзначение в ключе источника события, тогда EventCreate будет работать с этим источником.