Konfiguration des Dienstes

Das Ereignisprotokoll von Windows NT ist als Dienst realisiert. Wie jeder andere Dienst wird auch das Eventlog durch den Dienstkontrollmanager (Service Control Manager, SCM) gesteuert. Dieser Artikel beschreibt die hierfür in der Registry notwendigen Eintragungen.

Die Konfiguration des Eventlogs findet sich, nicht anders als die anderer Dienste, in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, der Schlüssel heisst Eventlog.

DisplayName nennt den Namen des Diestes, hier also "Event Log". Description enthält eine kurze Beschreibung der Funktion. Der SCM greift auf diese Eintragungen zurück, wenn er die Dienste auflistet.

ImagePath teilt dem SCM mit, welche Datei er ausführen soll. Implementiert wird das Eventlog, wie auch einige andere Dienste, in der Datei services.exe, die dann auf eventlog.dll zurückgreift.

Der Type 0x20 kennzeichnet den Eintrag als Systemdienst. Start mit dem Wert 2 bedeutet, dass der SCM diesen Dienst automatisch starten soll. ErrorControl mit dem Wert 1 legt fest, dass auch trotz eines Fehlers des Eventlogs der Systemstart fortgesetzt wird.

Weitere Parameter für Dienste nennt ein Artikel im Microsoft TechNet.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12