EventCreate.exe创建了一个"CustomSource“值，这意味着什么？

Question

命令行EventCreate.exe工具在注册表中为Windows注册了一个用户定义的事件源，如下所示：

eventcreate /t INFORMATION /ID 100 /L "Application" /SO [SourceName] /D "Description"

​

​

我编写了一个应用程序，它有自己的事件日志资源字符串，并注册为事件源每MSDN，但它不使用CustomSource值，工作正常。

我在MSDN或其他网站上找不到任何关于CustomSource的确切含义的文档。在我的机器上没有一个注册的来源使用它。

有人知道CustomSource是什么意思吗?它是如何工作的？它只是EventCreate.exe内部的一些东西，还是Windows实际上使用它来做某些事情？

Answer 1

感谢@RbMm指出这篇博客文章：

EventCreate和"ERROR: Source参数仅用于标识自定义应用程序/脚本“

出于任何原因，EventCreate的设计仅用于记录与EventCreate创建的事件日志源相关的事件。它这样做的方法是在创建新源时在源的注册表项中添加一个名为CustomSource的REG_DWORD值，并检查该值是否已存在。因此，在上面的示例中，如果应用程序日志中不存在"MyStuff“源，则上面的命令将创建它并使用CustomSource值配置其密钥。使用相同源对EventCreate的后续调用将在验证CustomSource值的存在之后成功。但是，如果在上面的示例中没有”MyStuff“源，那么上面的命令就会创建它并使用CustomSource值配置其密钥。"MyStuff“源是通过另一种机制创建的，该机制没有创建CustomSource标志，例如使用PowerShell CustomSourceNew-EventLogcmdlet，然后将得到错误消息。如果在事件源的键中创建CustomSource值，则EventCreate将与该源一起工作。