Wie kann ich ein logfile erstellen was die Ereignissanzeige protokolliert. Unter NT können Sie eine Log-Datei erstellen lassen, in der alle Ereignisse protokolliert werden.

Registrierungseditor starten.

Unter HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ CrashControl können Sie einstellen, ob eine Log-Datei angelegt werden soll:

LogEvent 1 -> Ereignisse protokollieren
0 -> keine Ereignisse protokollierenStandard: WS = 0
  Server = 1

Overwrite 1 -> Log-Datei darf überschrieben werden
0 -> kein Überschreiben erlaubtStandard: WS = 1
  Server = 1

Hinweis: Wenn „LogEvent“ aktiviert ist und es kann keine neue Datei erstellt werden, wird beim Versuch das Logfile zu schreiben eine Fehlermeldung ausgegeben und die Ereignisse werden nicht mehr protokolliert. Ein weiteres Arbeiten mit dem Rechner ist aber noch möglich.

Wollen Sie sicherstellen, daß der Rechner niemals ohne zu protokollieren arbeitet, finden (ggf. eintragen) Sie unter HKEY_LOCAL_MACHINES\ System\ CurrentControlSet\ Control\ Lsa die Zeichenfolge „CrashOnAuditFail“ und weisen ihr als Wert „1“ zu.
Wenn nun beim Erstellen der Log-Datei ein Fehler auftritt, beendet der Rechner die Arbeit und bleibt stehen.

Unter HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ EventLog

in den drei Schlüsseln: \Application
  \Security
  \System

können Sie jeweils in der Zeichenfolge „File“ Pfad und Namen der Log-Datei angeben, die zum Speichern der Dateien benutzt werden soll.
Standardmäßig legt NT die Datei im Verzeichnis „%SYSTEMROOT%\ System32\ Config“ ab.