Журнал безопасности windows xp где находится

При работе на ПК формируется системный файл – журнал событий Windows, в котором отображаются данные о состоянии системы и ее параметрах. Он создается автоматически и используется для оптимизации работы, устранения сбоев и неполадок.

Быстрый запуск его осуществляется путем добавления оснастки на консоль. Он представляет собой историю уведомлений, отчетов об ошибках, предупреждений, генерируемых различными программами. Эти данные можно использовать для оптимизации работы ОС.

Открытие файла

Посмотреть последние действия на компьютере получится с помощью записей о неполадках. Он не может быть пустым, так как сообщения об ошибках возникают даже на нормально функционирующем устройстве. Есть два способа запустить данную оснастку – из Панели управления Windows и с помощью командной строки. Чтобы открыть журнал событий windows 7, не запуская командную строку, повторите алгоритм:

1. Пройдите по пути Пускà Панель управления à Система и обслуживание à Администрирование;
2. В открывшемся окне найдите Просмотр событий;
3. Сделайте двойной клик;

Второй способ того, как посмотреть журнал посещений на компьютере – запустить его с помощью командной строки. Способ подходить для любых версий ОС от ХР и выше. Запустите командную строку, зажав Win+R и введя в открывшемся окне cmd. Еще один способ – пройти по пути Пуск à Все программы à Стандартные àКомандная строка. В открывшееся поля командной строки введите комбинацию eventvwr.

Есть способ найти журнал посещений на компьютере вручную. Это файл формата .msc с именем Eventvwr. Его можно найти в поисковике ОС или в папке Sustem32. Папка расположена на локальном диске С, в директории Windows/ProgramFiles/%SYSTEMROOT%. Открывается файл двойным щелчком с помощью стандартных средств Windows.

Использование информации файла

Системный журнал windows 7 позволяет установить причину неполадки при самопроизвольной перезагрузке устройства или появлении «экрана смерти». Программа позволит увидеть файл, ответственный за сбой. При возникновении неполадки необходимо запомнить время, в которое она произошла, а затем просмотреть файл и узнать, какой процесс дал сбой в этот момент. Самые серьезные проблемы отмечены как критические.

Кроме сообщений об ошибках, журнал событий windows xp записывает и другую важную информацию. Это полное время загрузки системы и др. Но данные файла необходимо правильно «читать», тогда его просмотр принесет пользу. В левом блоке расположено дерево разделов, где Вы можете найти необходимый элемент оснастки.

Управление простое. Кликните на строку, и в нижней части окна отобразится информация по проблеме. Каждая ошибка содержит атрибуты:

• Имя – подраздел данных, в который сохранилась информация;
• Источник – программа, ставшая катализатором неполадки;
• Код – цифровой шифр, позволяющий найти в Интернете информацию по ошибке;
• Пользователь и компьютер – показывают, кем была запущена задача – каким устройством и от имени какого пользователя. Особенно актуально на серверах.

Другой информации о происходящем за устройством из записи событий узнать нельзя. В нем отображаются не все запущенные программы, а только сбойные. Таким образом, если необходимо просмотреть историю на компьютере, то нужно скачать кейлоггер.

ПОСМОТРЕТЬ ВИДЕО

Удалить информацию из этого файла также легко, как очистить журнал посещений в браузере. Для этого перейдите в раздел одним из указанных способов и найдите в левом блоке с деревом тот подраздел, который хотите очистить.

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

   

   eventvwr — команда для вызова журнала событий
3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

   

   Просмотр событий

Вариант 2

1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

   

   Система и безопасность

2. далее необходимо перейти в раздел «Администрирование»;

   

   Администрирование
3. после кликнуть мышкой по ярлыку «Просмотр событий».

   

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

❷

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

   

   Открываем службы — services.msc (универсальный способ)

2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

   

   Службы — журналы событий

3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

   

   Отключена — остановить

*

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

Консоль Просмотр событий позволяет отслеживать работу аппаратного и программного обеспечения, а также контролировать события службы безопасности Windows XP.

Событие — это любое значительное происшествие в работе системы. При возникновении многих внутренних системных событий во время работы Windows XP на экран выводятся сообщения об ошибках, вызванных различными причинами. В соответствующих журналах отображаются сведения о том, насколько то или иное событие опасно для системы в целом.

Если вы хотите знать, что на самом деле происходит во внутренней кухне Windows XP, вам непременно нужно просмотреть системные события, которые помогут найти часто зависающие программы, проблемные службы, выявить некоторые проблемы безопасности и т.д.

В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных.

• Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.

• Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.

• Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудиокарт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.

Консоль Просмотр событий используется для выполнения таких задач.

• Просмотр файлов журналов.
• Сортировка, поиск и фильтрация событий.
• Управление параметрами, влияющими на ведение записей в журнале.
• Очистка журнала.
• Архивирование журналов на диске для дальнейшего просмотра.

Работа с журналами

Для работы с журналами запустите консоль Просмотр событий из папки Администрирование (или раскройте меню Просмотр событий в консоли Управление компьютером).

В левой панели окна консоли выберите журнал для просмотра, содержимое которого будет показано в правой панели. Чтобы обновить содержимое журнала, можно использовать клавишу <F5>. Как правило, событие, которое произошло последним, располагается в верхней части списка.

Для изменения этого порядка на обратный выберите команду меню Вид>>От старых к новым. При необходимости выполните фильтрацию событий. В частности, на экран можно вывести события, произошедшие за определенный период, события, связанные с кодом или типом ошибок либо предупреждений. Для этого выберите команду меню Вид>>Фильтр. Укажите в диалоговом окне Свойства параметры поиска.

Для поиска в журнале того или иного события выберите команду меню Вид>>Найти и укажите в диалоговом окне Поиск-локальный параметры поиска. Для получения дополнительных сведений о каком-либо событии дважды щелкните на нем на правой панели окна консоли. Отобразится диалоговое окно Свойства: Событие, которое содержит сведения о выбранном событии.

Параметры журналов событий

Журналы событий могут принести огромную пользу для обнаружения неисправностей и прогнозирования возможных отказов в работе аппаратного обеспечения и всей системы. Наибольшую помощь журнал может оказать при поиске скрытых дефектов и неполадок в работе программного обеспечения.

Для использования журналов в качестве мощного инструмента предотвращения неполадок следует иметь представление о параметрах, которые отображаются в журналах.

В журналах регистрируется пять следующих видов событий.

• Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
• Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
• Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
• Аудит успехов. Свидетельствует об успешном выполнении процедуры.
• Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.

Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.

• Тип. Отображает один из пяти типов события.
• Дата. Указывает дату регистрации события.
• Время. Сообщает время регистрации события.
• Источник. Указывает источник, который привел к регистрации события.
• Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
• Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
• Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
• Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню ДействиеðЭкспортировать список.

Существует ряд настроек, управляющих параметрами регистрации событий в журнале. Для просмотра или изменения параметров файла журнала щелкните правой кнопкой мыши на значке одного из журналов на левой панели окна консоли и выберите команду Свойства, после чего перейдите на вкладку Общие.

Когда объем журнала достигнет максимального значения, новые события не будут регистрироваться. Поэтому журнал можно периодически очищать с помощью команды меню Действие>>Стереть все события, но в этом обычно нет необходимости, поскольку на вкладке Общие по умолчанию выбрано удаление всех событий, старше 7 дней. Большинство базовых параметров, указанных на этой вкладке, вполне приемлемы для большинства случаев. При наличии особых условий можно изменить некоторые параметры и сохранить зарегистрированные события, выбрав переключатель По достижении максимального размера журнала в положение Не затирать события (очистка журнала вручную).

Консоль Просмотр событий может показаться безмерно скучной, но, если вникнуть в нее как следует, она принесет свои безусловные плоды. Например, вы сможете наповал поразить своими знаниями девушку на первом свидании, после чего она непременно захочет встретиться с вами снова

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

   

   eventvwr — команда для вызова журнала событий

3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

   

   Просмотр событий

Вариант 2

1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

   

   Система и безопасность

2. далее необходимо перейти в раздел «Администрирование»;

   

   Администрирование

3. после кликнуть мышкой по ярлыку «Просмотр событий».

   

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

❷

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

   

   Открываем службы — services.msc (универсальный способ)

2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

   

   Службы — журналы событий

3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

   

   Отключена — остановить

*

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

В Windows есть инструмент, который ведет детальный журнал всех событий, которые происходят в системе. Фактически это системная служба, которая фиксирует все значимые события в специальный файл — журнал событий.

Речь идет как о событиях, инициированных самой операционной системой, так и установленными в ней программами. Все предупреждения, ошибки или информационные сообщения также фиксируются в журнале событий.

Журнал событий может быть весьма полезным при решение различных проблем, например, когда компьютер стал самопроизвольно перегружаться, зависать или стал появляться так называемый «синий экран смерти».

Как запустить журнал событий

Файлы журнала событий не являются обычными текстовыми, поэтому их нельзя открыть простым текстовым редактором. Для просмотра журнала событий используется специальный инструмент — Просмотр событий.

Чтобы запустить журнал событий щелкаем правой кнопкой мыши по меню Пуск и выбираем пункт Просмотр событий из меню.

Категории событий

Все журналы событий распределяются по категориям.

Категорий довольно много, но обычно при решении проблем приходится обращаться только к трем из них — Приложение, Безопасность и Система.

Из названия категорий логично вытекает и природа событий, которые в них фиксируются. Так, например, в журнале событий Приложение фиксируются события, сгенерированные приложениями, а не системой. При этом разработчики программ решают какие события имеет смысл фиксировать в журнале

В журнале событий Система фиксируются события, сгенерированные системными компонентами, а журнал событий Безопасность содержит события, влияющие на безопасность системы. Это информация о неудачных и удачных попытках входа в систему, использование ресурсов, управление учетными записями и так далее.

Типы событий

В журнале отображаются три основных типа событий.

Сведения — эти события описывают запуск или остановку программы или системой службы, которые прошли в штатном режиме, то есть без сбоев и проблем.

Предупреждение — сигнализируют о том, что программа запущена, но возникла проблема, которая может стать причиной сбоя.


Ошибка — такое событие сигнализирует о критической проблеме, которая может привести к сбою в работе программы или к потере данных.

Не стоит расстраиваться или впадать в панику если в журнале вы обнаружите предупреждения или ошибки. Более того я уверен, что вы их обязательно найдете и чем больше на компьютере установлено программ, тем больше подобных событий будет в журнале. Дело в том, что не всегда коммуникация между операционной системой и установленной в ней программой проходит удачно, в результате в журнале появляется соответствующая запись, хотя при этом подобное событие никак не повлияет на работу программы или Windows. Таких событий большинство и нет никакого смысла пытаться докопаться до сути каждой такой ошибки. Я бы даже сказал так — к журналу событий стоит обращаться только в том случае, если что-то пошло не так…

Когда использовать просмотр событий

Если в работе компьютера появились сбои, то тут в первую очередь и стоит заглянуть в Просмотр событий. Например, компьютера стал внезапно перезагружаться, зависать или периодически стал появляться так называемый «синий экран смерти» (BSoD). В подобных ситуациях журнал событий сможет подсказать направление для поиска причины проблемы.

Чтобы было проще найти причину стоит запомнить время возникновения внештатной ситуации. Тогда в журнале событий будет легко найти ошибку, которая случилась в этот временной промежуток. Запись об ошибке можно открыть в отдельном окне и более детально изучить информацию о ней.

К сожалению, здесь нет какого-то универсального алгоритма решения всех проблем и в каждой конкретной ситуации нужно будет исходить из той информации, которая была зафиксирована в журнале. Это может быть ссылка на проблемный файл, код ошибки вызывающей синий экран смерти или даже указание конкретного устройства.

Располагая этой информацией можно продолжить поиск. В этом всегда поможет интернет где, например, по коду ошибки можно найти возможные варианты решения проблемы.

Как сохранить журнал событий

При необходимости можно сохранить лог события, щелкнув первой кнопкой мыши и выбрав соответствующий пункт из контекстного меню.

Журнал можно сохранить, например,в файл в формате CSV и затем его можно будет открыть, например, с помощью Excel.

Где находятся файлы журнала событий

Сами файлы журналов событий Windows по умолчанию находятся на системном диске — C:WindowsSystem32winevtLogs

Если служба «Журнал событий Windows» запущена, то рабочие файлы журналов будут защищены системой и их нельзя будет ни удалить, ни переместить. Этого делать и не следует, так как может быть нарушена работа Windows.

Как очистить журнал событий

Если возникает необходимость очистить журнал событий, то сделать это можно в Просмотре событий — щелкаем на нужном разделе правой кнопкой мышкой и выбираем пункт «Очистить журнал…».

Также многие утилиты очистки системы (вроде программы CCleaner) позволяют очищать журналы событий.

Итак, я постарался дать ответы на самые частые вопросы, касающиеся журнала событий.

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

1. Щелкните «Пуск» и перейдите по надписи «Панель управления».



2. Затем зайдите в раздел «Система и безопасность».



3. Далее щелкайте по наименованию раздела «Администрирование».



4. Попав в указанный раздел в перечне системных утилит ищите наименование «Просмотр событий». Кликните по нему.



5. Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.



6. В открывшемся списке выбирайте один из пяти интересующих вас подразделов:
   • Приложение;
   • Безопасность;
   • Установка;
   • Система;
   • Перенаправление события.

   В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.



7. Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.

Способ 2: Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

1. Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:

   eventvwr

   Кликните «OK».



2. Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

1. Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

   eventvwr

   

   Или просто напишите:

   Просмотр событий

   В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.



2. Журнал будет запущен.

Способ 4: «Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

1. Щелкайте «Пуск». Далее выбирайте «Все программы».



2. Переходите в папку «Стандартные».



3. В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.
   

   Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

   cmd

   Щелкайте «OK».



4. При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:

   eventvwr

   Жмите Enter.



5. Окно журнала будет активировано.

Урок: Включение «Командной строки» в Виндовс 7

Способ 5: Прямой старт файла eventvwr.exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

C:WindowsSystem32

1. Запустите «Проводник Windows».



2. Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.



3. Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.



4. Произойдет активация окна журнала.

Способ 6: Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

1. Запустите «Проводник» и введите в адресное поле такой адрес:

   C:WindowsSystem32eventvwr.exe

   Кликните Enter или нажмите по эмблеме стрелки.



2. Окно журнала тут же активируется.

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

1. Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».



2. Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:

   C:WindowsSystem32eventvwr.exe

   Кликните «Далее».



3. Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

   Журнал событий

   

   Или такое:

   Просмотр событий

   В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».



4. Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.



5. Необходимое системное приложение будет запущено.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

1. Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.
   

   В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

   services.msc

   Жмите «OK».



2. Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.



3. Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.



4. Открывается окно. Кликните по области «Тип запуска».



5. Из раскрывшегося списка выбирайте «Автоматически».



6. Жмите по надписям «Применить» и «OK».



7. Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».



8. Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

А второй требует использования панели управления, где требуется:

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Для получения списка доступных системных журналов можно выполнить следующую команду:

Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Ошибки и предупреждения журнала System.

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:WindowsSystem32LogFilesFirewallpfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:

Смотрим журнал Windows Firewall.

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%test.evtx’ WHERE EventID = 21 ORDER BY Date DESC

Смотрим, кто и когда подключался к нашему серверу терминалов.

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsMessageTracking*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Выполняем запрос и открываем получившуюся картинку…

Любуемся результатом.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Интерфейс Log Parser Studio.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

Выборка наиболее активных ящиков.

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

Откроется окно утилиты. Слева расположены журналы:

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Работа происходит с разделом «Журналы», в который входят такие категории:

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Отметьте пункты как на скриншоте:

Утилита отфильтрует записи.

Просмотрите сообщение:

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Источник

Как посмотреть журнал событий в Windows 10

Журнал событий опытные пользователи зачастую используют для решения проблем возникших в операционной системе Windows 10. В журнал событий вносятся данные о всех происходящих событиях в операционной системе. До таких событий относятся информационные сообщения, предупреждения программ, данные о работе пользователей.

Данная статья расскажет как посмотреть, открыть, очистить журнал событий Windows 10. Журнал событий был разработан для опытных пользователей с целью получения возможности полноценного управления операционной системой. Именно поэтому новичкам будет немного сложно разобраться, а системные администраторы легко используют данный инструмент.

Как открыть журнал событий Windows 10

Большинство действий пользователя в системе попадают в журнал событий операционной системы. Многие пользователи даже не догадываются о таком инструменте, который также позволяет исправлять множество ошибок. Файлы журнала сохраняются на системном диске по пути: C: Windows System32 winevt Logs. Но не достаточно знать где хранятся данные журнала, поскольку для их просмотра нужно использовать классическое приложение просмотра событий.

К альтернативным способам открытия журнала событий можно отнести запуск классического приложения eventvwr.exe или eventvwr.msc просмотра событий на системном диске по пути: C: Windows system32, а также поиск приложения просмотр событий в окне поиска Windows 10 или же простое выполнение команды eventvwr.msc в окне Win+R.

Как очистить журнал событий в Windows 10

Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.

После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.

Командная строка

Windows PowerShell

Как отключить журнал событий Windows 10

Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.

Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу. А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом.

Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.

Источник

Журнал событий

Подробности

Категория: Очистка системы

Использование и очистка журнала событий
  Windows поддерживает несколько журналов событий, содержащих информацию о проблемах, связанных с состоянием системы и приложений, а также с безопасностью. Кроме того, приложения могут создавать специализированные журналы событий. Такие журналы, как правило, описывают события, связанные с конкретным приложением или функцией операционной системы (например, драйвером устройства). Просмотр журнала событий осуществляется при помощи консоли Просмотр событий (Event Viewer) папки Администрирование (Administrative Tools) панели управления. Далее с позиций оптимизации описана работа со стандартными журналами событий Windows: Система (System), Приложение (Application) и Безопасность (Security).
  Некоторые приложения после удаления оставляют свои журналы событий на жестком диске. Файл журнала событий имеет расширение EVT, а его название представляет собой сокращенное имя журнала событий. Никогда не удаляйте журналы Система (System), Приложение (Application) и Безопасность (Security).
Просмотр записей журнала событий
  Журналы событий поддерживают записи нескольких видов. С точки зрения оптимизации интерес представляют только уведомления, предупреждения и ошибки.
► Уведомления (information) извещают о том, что Windows или приложение удачно завершило выполнение операции, либо изменился статус приложения или службы. Например, служба удаленного доступа создает уведомление в журнале при каждой попытке подключения к Интернету через коммутируемое соединение.
► Предупреждение (warning) указывает на то, что в системе произошла некритическая ошибка. Имеет смысл потратить время на то, чтобы исправить максимальное количество имеющихся ошибок; журнал событий позволяет установить их причины. Тем не менее, иногда проблема оказывается вне вашего контроля, либо носит однократный характер. Например, неполадка в сети может привести к потере связи с сервером в момент выполнения критической операции. Позднее вы получите уведомление о том, что связь восстановлена и нет необходимости тратить усилия на разрешение проблемы.
► Ошибка (error) свидетельствует о том, что система нестабильна или в ней произошел критический сбой. Причину ошибки всегда следует ликвидировать максимально быстро. Систему вполне возможно настроить таким образом, что она не будет генерировать записей об ошибках. Стремитесь достичь подобного результата, поскольку наличие записей об ошибках говорит о серьезных проблемах оптимизации.
  Вы можете удалить многочисленные записи, создаваемые в журнале событий службой удаленного доступа, щелкнув правой кнопкой мыши на значке Сетевое окружение (My Network Places) и выбрав в контекстном меню команду Свойства (Properties). На экране появится диалоговое окно Сетевые подключения (Network Connection). Щелкните правой кнопкой мыши на значке, соответствующем коммутируемому подключению, и снова выберите в контекстном меню команду Свойства (Properties). Вы увидите диалоговое окно свойств подключения. Перейдите в нем на вкладку Дополнительно (Advanced) и щелкните на кнопке Параметры (Settings). В диалоговом окне Дополнительные параметры (Advanced Settings) перейдите на вкладку Ведение журнала безопасности (Security Logging) и сбросьте флажки Записывать пропущенные пакеты (Log Dropped Packets) и Записывать успешные подключения (Log Successful Connections). Дважды щелкните на кнопке ОК, чтобы закрыть диалоговые окна Дополнительные параметры (Advanced Settings) и Свойства подключения (Network Connection).
  Одна из основных проблем журнала событий состоит в том, что многие пользователи его игнорируют. Возьмите за правило регулярно просматривать журнал событий; при необходимости делайте это ежедневно, например, утром после загрузки компьютера. Если ошибок и предупреждений нет, прочитайте уведомления и удалите записи из журнала событий (см. далее раздел «Удаление устаревших записей»). Ежедневный просмотр журнала событий и его очистка оптимизируют систему в двух аспектах. Во-первых, сокращается количество проблем со стабильностью, что делает вашу работу более продуктивной. Во-вторых, журнал событий занимает меньше места на жестком диске.
  Для ежедневного просмотра журнала событий есть еще одна важная причина. Некоторые записи теряют смысл, если их сразу же не прочитать, поскольку их надо читать в контексте текущего окружения. Например, сообщение об ошибке, появляющееся при повреждении компакт-диска. Если вы не прочитаете ее немедленно, позже будет невозможно определить, какой из ваших компакт-дисков поврежден. В какой-то момент компакт-диск может окончательно выйти из строя, что, возможно, вынудит вас восстанавливать его содержимое.
  С точки зрения оптимизации и очистки системы журнал событий полезно просматривать для проверки вносимых изменений. Иногда изменение может приводить к неожиданным результатам, и журнал событий способен снабдить вас информацией о них. Например, остановка службы времени Windows (Windows Time) может нарушить синхронизацию клиентского компьютера с сервером. По этой причине некоторые события станут случаться невовремя или перестанут происходить вовсе, что вызовет проблемы с сетью. Windows поместит в журнал все записи о сетевых ошибках. Хотя установка точного времени особой важности не представляет, некоторые ошибки все же могут случаться. Вам необходимо оценить, достаточно ли серьезны сетевые ошибки для того, чтобы снова включить службу времени Windows. Очевидно, что служба времени потребует дополнительной оперативной памяти и мощности процессора, поэтому в данном случае вам придется сделать выбор между локальной оптимизацией компьютера и работоспособностью компьютерной сети в целом.
Настройка журнала событий
  Компания Microsoft любит большие журналы событий. Даже если журнал содержит всего одну запись, он занимает все дисковое пространство, которое вы отводите ему. Если вы ежедневно просматриваете журнал событий, нет необходимости содержать журнал большого размера, поэтому вы можете оптимизировать его для эффективного использования дискового пространства. Кроме того, вы можете настроить журнал событий так, чтобы в нем отображалась только нужная вам информация.
  Чтобы изменить параметры журнала событий, щелкните на нем правой кнопкой мыши и выберите в контекстном меню команду Свойства (Properties). На экране появится диалоговое окно его свойств. Обратите внимание на то, что все журналы событий для настройки имеют один и тот же набор элементов управления — различие заключается лишь в именах.
  На рисунке представлены параметры, установленные для журнала событий Приложение (Application) в моей системе. Объем журнала равен 64 Кбайт вместо 512 Кбайт, предлагаемых Microsoft по умолчанию. Кроме того, записи хранятся в журнале событий не более 7 дней. Если в течение этого времени вы не прочитали запись, скорее всего, вы вообще не будете на нее реагировать. Обратите внимание и на другие параметры. В поле Имя журнала (Log Name) указано местоположение журнала событий, что позволяет удалять из системы устаревшие журналы — напоминаю, никогда не удаляйте журналы Система (System), Приложение (Application) и Безопасность (Security). Кроме того, вы можете удалить все записи из журнала при помощи кнопки Очистить журнал (Clear Log).
  Вкладка Фильтр (Filter) также важна для оптимизации. Так, вы можете скрыть уведомления, сбросив флажок Уведомления (Information); при этом уведомления не удаляются из журнала, а просто не отображаются в нем. Это позволяет сконцентрировать внимание на более важных записях — предупреждениях и ошибках. Кроме того, вы можете временно отфильтровать записи журнала по именам пользователя и компьютера. Никогда не сохраняйте эти критерии фильтрации, поскольку в противном случае вы потеряете из виду важные записи журнала событий.

Удаление устаревших записей
  Всегда удаляйте записи из журнала событий после разрешения породивших их проблем. Чтобы удалить записи из определенного журнала событий, в консоли Просмотр событий (Event Viewer) щелкните на этом журнале правой кнопкой мыши и выберите в контекстном меню команду Стереть все события (Clear All Events). На экране появится сообщение, предлагающее сохранить журнал перед очисткой. Если у вас нет серьезных причин сохранять журнал, щелкните на кнопке Нет (No).
  Нельзя удалить одну или две записи журнала событий. Очистка журнала приводит к удалению из него всех записей. Кроме того, операцию удаления невозможно отменить — очистив журнал, вы безвозвратно теряете его содержимое.

• < Назад

Общие
понятия

Аудит
— это одно из основных средств защиты
ОС. Аудит позволяет отслеживать и
журналировать события, связанные с
безопасностью. Примерами событий для
аудита можно назвать доступ к файлу,
вход в систему или изменение системной
конфигурации.

Журнал
безопасности представляет собой базу
данных или файл, в котором регистрируются
события, связанные с безопасностью
системы.

Благодаря
системе аудита, администратор может
узнать, кто, каким образом и когда
воспользовался (или пытался воспользоваться,
но получил отказ в доступе) интересующими
его ресурсами.

Настройка
средств аудита позволяет выбрать типы
событий, подлежащих регистрации, и
определить, какие именно параметры
будут регистрироваться.

Наиболее
общими типами событий для аудита
безопасности являются:

доступ
к файлам и каталогам;

управление
учетными записями пользователей и
групп;

вход
пользователей в систему и выход из нее.

Как
правило, фиксируются следующие параметры,
касающиеся действий, совершаемых
пользователями:

выполненное
действие;

идентификаторы
пользователей и групп, выполнивших
действие;

дата
и время выполнения.

Аудит
приводит к дополнительной нагрузке на
систему, поэтому необходимо регистрировать
лишь события, действительно представляющие
значение с точки зрения безопасности.

2. Управление аудитом в Windows

Политика
аудита

Перед
выполнением аудита необходимо выбрать
политику аудита. Политика аудита
указывает типы событий, которые будут
регистрироваться в журнале безопасности.
При первой установке Windows XP SP2
все категории аудита выключены. Включая
аудит различных категорий событий,
можно создавать политику аудита,
удовлетворяющую необходимым требованиям.

Настройка
политик аудита доступна в оснастке
Групповая политика. Существуют
следующие категории аудита:

Аудит
событий входа в систему отслеживает
события, связанные с входом пользователя
в систему и выходом из неё;

Аудит
управления учетными записями
отслеживает все события, связанные с
управлением учетными записями. Записи
аудита появляются при создании, изменении
или удалении учетных записей пользователя
или группы;

Аудит
доступа к службе каталогов отслеживает
события доступа к каталогу Active Directory.
Записи аудита создаются каждый раз при
доступе пользователей или компьютеров
к каталогу;

Аудит
входа в систему отслеживает события
входа в систему или выхода из нее, а
также удаленные сетевые подключения;

Аудит
доступа к объектам отслеживает
использование системных ресурсов
файлами, каталогами, общими ресурсами,
и объектами Active Directory;

Аудит
изменения политики отслеживает
изменения политик назначения прав
пользователей, политик аудита или
политик доверительных отношений;

Аудит
использования привилегий отслеживает
каждую попытку применения пользователем
предоставленного ему права или привилегии.

Примечание.
Политика Аудит использования привилегий
не отслеживает события, связанные с
доступом к системе, такие, как использование
права на интерактивный вход в систему
или на доступ к компьютеру из сети. Эти
события отслеживаются с помощью политики
Аудит входа в систему. 

• Аудит
отслеживания процессов отслеживает
системные процессы и ресурсы, используемые
ими. 

• Аудит
системных событий отслеживает события
включения, перезагрузки или выключения
компьютера, а также события, влияющие
на системную безопасность или отражаемые
в журнале безопасности. 

Рассмотрим
перечисленные выше политики аудита
более подробно.

Аудит
событий входа учетных записей в систему

Этот
параметр политики определяет необходимость
аудита каждого входа пользователя в
систему или выхода из нее с другого
компьютера, проверяющего учетную запись.
При проверке подлинности локального
пользователя на локальном компьютере
формируется событие входа в систему,
регистрируемое в локальном журнале
безопасности. События выхода из системы
не регистрируются.

Аудит
управления учетными записями

Этот
параметр политики определяет необходимость
аудита каждого события управления
учетными записями на компьютере. Примеры
событий управления учетными записями:

создание,
изменение или удаление учетной записи
пользователя;

переименование,
отключение или включение учетной записи
пользователя;

задание
или изменение пароля

Организациям
нужна возможность определения того,
кто создает, изменяет и удаляет учетные
записи доменов и локальных систем.
Несанкционированные изменения могут
быть как ошибками администраторов, не
соблюдающих политики организации, так
и признаками умышленных атак.

Например,
события отказов при управлении учетными
записями часто свидетельствуют о
попытках расширения привилегий,
предпринимаемых администратором более
низкого уровня или злоумышленником,
получившим доступ к его учетной записи.
Соответствующие журналы помогают
узнать, какие учетные записи изменил
или создал хакер.

Наилучший
подход к управлению доступом состоит
в том, чтобы предоставлять доступ
группам, а не отдельным пользователям.
С помощью категории событий Управление
учетными записями можно легко
идентифицировать случаи изменения
членства в группах. Во многих случаях
злоумышленники, получившие права
административного доступа к системе,
сначала создают новую учетную запись,
а затем используют ее для дальнейших
атак. С помощью событий категории
Управление учетными записями факт
создания новой учетной записи может
быть легко выявлен.

Аудит
доступа к службе каталогов

Категория
Аудит доступа к службе каталогов
обеспечивает низкоуровневый аудит
объектов ActiveDirectory
(AD) и их свойств. Поскольку
данная категория имеет непосредственное
отношение к AD, то активировать аудит
подобных событий на системах, которые
не являются контроллерами домена, не
имеет ни малейшего смысла.

Аудит
событий входа в систему

Этот
параметр политики определяет необходимость
аудита каждого входа пользователя в
систему или выхода из нее. Параметр
Аудит событий входа в систему
регламентирует создание записей,
служащих для слежения за активностью
локальных учетных записей.

Если
присвоить параметру Аудит событий
входа в систему значение Нет аудита,
будет сложно или невозможно узнать,
какие пользователи входили на компьютеры
в организации или пытались это сделать.
Если пользователь входит в систему с
локальной учетной записью, а параметр
Аудит событий входа учетных записей
в систему имеет значение Включен,
при входе в систему формируются два
события.

Аудит
доступа к объектам

Сам
по себе этот параметр политики не
запускает аудита каких-либо событий.
Параметр Аудит доступа к объектам
определяет необходимость аудита событий
доступа к объекту (например к файлу,
папке, разделу реестра или принтеру),
для которого задан системный список
управления доступом (SACL).

System
Access-Control List (SACL) — список, похожий на ACL,
но отвечающий не за разрешение или
запрет на доступ, а за аудит (протоколирование
в журнале безопасности) успешных и
безуспешных попыток доступа к объекту.
SACL состоит из записей
управления доступом. Каждая запись
управления доступом включает сведения
трех типов:

участник
безопасности (пользователь, компьютер
или группа), для которого будет выполняться
аудит;

определенный
тип доступа, для которого будет выполняться
аудит (маска доступа);

флаг,
указывающий на необходимость аудита
событий сбоя доступа, успешного доступа
или того и другого вида событий.

Если
параметр Аудит доступа к объектам
настроен для регистрации значений
Успех, запись аудита создается
каждый раз, когда пользователь успешно
получает доступ к объекту с указанным
системным списком управления доступом.
Если этот параметр настроен для
регистрации значений Отказ, запись
аудита создается каждый раз, когда
пользователь безуспешно пытается
получить доступ к объекту с указанным
системным списком управления доступом.

При
настройке системных списков управления
доступом организации должны определять
только те действия, которые необходимо
включить. Например, может потребоваться
включить параметр Аудит записи и
добавления данных для EXE-файлов, чтобы
отслеживать их изменение или замену,
так как вирусы, черви и «троянские кони»
обычно воздействуют на EXE-файлы. Кроме
того, может потребоваться отслеживание
доступа к конфиденциальным документам
и их изменения.

В
принципе с помощью категории Аудит
доступа к объектам можно следить за
доступом к файлам, папкам, принтерам,
разделам реестра и системным службам,
но в большинстве случаев данная категория
используется для отслеживания доступа
к файлам и папкам. Как только будет
включен аудит по данной категории, в
журнале безопасности сразу же отобразится
некоторое количество событий, касающихся
доступа к объектам в базе безопасности
SAM. Однако каких-либо других событий,
связанных с доступом к файлам или другим
объектам, вы здесь не увидите, поскольку
каждый объект имеет свои настройки
параметров аудита, а по умолчанию почти
у всех объектов аудит отключен. Это
правильная практика, поскольку, если в
системе будет включен аудит попыток
доступа к каждому файлу или объекту, то
данная система до своей полной остановки
будет заниматься только обработкой
этих событий, а ее журнал безопасности
быстро переполнится, вне зависимости
от назначенного ему объема. Рекомендуется
применять эту категорию только к
критически важным файлам, действительно
требующим механизмов слежения за
доступом к ним.

Аудит
изменения политики

Этот
параметр политики определяет необходимость
аудита каждого изменения политик
назначения прав пользователям, политик
доверия или самой политики аудита.

Если
параметр Аудит изменения политики
настроен для регистрации значений
Успех, запись аудита создается при
каждом успешном изменении политик
назначения прав пользователям, политик
доверия или политик аудита. Если этот
параметр политики настроен для регистрации
значений Отказ, запись аудита
создается при каждой неудачной попытке
изменения политик назначения прав
пользователям, политик доверия или
политик аудита.

Рекомендованный
способ настройки этого параметра
позволяет узнать, какие привилегии
учетной записи злоумышленник пытается
повысить или получить (например привилегии
Отладка программ или Архивация
файлов и каталогов).

Аудит
использования привилегий

Для
обеспечения контроля возможностей
выполнения пользователями функций
системного уровня, таких как изменение
системного времени или выключение, в
Windows применяется система прав пользователей
(привилегий).

Этот
параметр политики определяет необходимость
аудита каждого применения права
пользователя. Если параметр Аудит
использования привилегий настроен
на регистрацию значений типа Успех,
запись аудита создается при каждом
успешном применении права пользователя.
Если этот параметр настроен на регистрацию
значений типа Отказ, запись аудита
создается при каждой неудачной попытке
применения права пользователя.

При
применении указанных ниже прав
пользователя аудит не записывается,
даже если задан параметр Аудит
использования привилегий, поскольку
для этих прав регистрируется большое
число событий в журнале безопасности.
Аудит следующих прав пользователя
отрицательно сказывался бы на
производительности компьютеров:

Обход
перекрестной проверки

Отладка
программ

Создание
маркерного объекта

Замена
маркера уровня процесса

Создание
аудитов безопасности

Архивация
файлов и каталогов

Восстановление
файлов и каталогов

Примечание.
Если нужно осуществлять аудит этих
прав, необходимо включить в групповой
политике параметр Аудит: аудит прав
на архивацию и восстановление.

Аудит
отслеживания процессов

Этот
параметр политики определяет необходимость
аудита подробной информации о таких
событиях, как активация программ,
завершение процессов, дублирование
дескрипторов и косвенный доступ к
объектам. Если этот параметр настроен
на регистрацию значений типа Успех,
запись аудита создается при каждой
операции, успешно выполненной отслеживаемым
процессом. Если этот параметр настроен
на регистрацию значений типа Отказ,
запись аудита создается при каждой
неудачной попытке выполнения операции
отслеживаемым процессом.

Если
параметр Аудит отслеживания процессов
задан, регистрируется большое количество
событий, поэтому обычно ему присваивают
значение Нет аудита. Однако этот
параметр может оказаться очень полезным
при реагировании на инциденты, потому
что он позволяет получить подробные
сведения о запущенных процессах и
времени запуска каждого из них.

Аудит
системных событий

Этот
параметр политики определяет необходимость
аудита, когда пользователь перезагружает
или выключает компьютер, либо когда
происходит событие, влияющее на
безопасность или журнал безопасности
компьютера (например, очистка журнала
событий). Если этот параметр настроен
на регистрацию значений типа Успех,
запись аудита создается при успешном
выполнении системного события. Если
этот параметр настроен на регистрацию
значений типа Отказ, запись аудита
создается при неудачной попытке
выполнения системного события.

События
аудита

Как
уже упоминалось ранее, Windows XP регистрирует
в журналах происходящие события, которые
отслеживаются политикой аудита. Пользуясь
информацией журналов событий, можно
получить сведения о неполадках аппаратного
и программного обеспечения, а также
наблюдать за событиями безопасности
Windows. Управлять и просматривать содержимое
журналов событий можно с помощью утилиты
Просмотр событий (Event Viewer).

Windows
XP записывает события в
три журнала:

Системный
журнал (system log) содержит сообщения об
ошибках, предупреждения и другую
информацию, исходящую от операционной
системы и компонентов сторонних
производителей. Список событий,
регистрируемых в этом журнале,
предопределен операционной системой
и компонентами сторонних производителей
и не может быть изменен пользователем.
Журнал находится в файле Sysevent.evt.

Журнал
безопасности (Security Log) содержит
информацию об успешных и неудачных
попытках выполнения действий,
регистрируемых средствами аудита.
События, регистрируемые в этом журнале,
определяются заданной вами стратегией
аудита. Журнал находится в файле
Secevent.evt.

Журнал
приложений (Application Log) содержит сообщения
об ошибках, предупреждения и другую
информацию, выдаваемую различными
приложениями. Список событий, регистрируемых
в этом журнале, определяется разработчиками
приложений. Журнал находится в файле
Appevent.evt.

Все
журналы размещены в папке
%Systemroot%System32Config. Журналы событий можно
просматривать с любого компьютера
локальной сети, при наличии прав
администратора на компьютере, где
расположен журнал. Нас будет интересовать
прежде всего Журнал безопасности,
т.к. именно в нем регистрируются
события аудита безопасности.

При
выборе событий для проведения аудита
следует учитывать возможность переполнения
журнала. Чтобы иметь возможность
просматривать содержимое журналов за
длительный промежуток времени,
рекомендуется периодически архивировать
текущие журналы. Дополнительные журналы
могут быть добавлены при установке
дополнительных служб.

В
таблице 1 приведены основные события
безопасности, которые регистрируются
в журнале безопасности, если задана
политика аудита событий управления
учетными записями.

Таблица
1. События управления учетными записями

В
таблице 2 приведены основные события
безопасности, которые регистрируются
в журнале безопасности, если задана
политика аудита событий входа в систему.

Таблица
2. События аудита входа в систему

В
таблице 3 приведены основные события
безопасности, которые регистрируются
в журнале безопасности, если задана
политика аудита событий доступа к
объектам.

Таблица
3. События доступа к объектам

В
таблице 4 приведены основные события
безопасности, которые регистрируются
в журнале безопасности, если задана
политика аудита событий изменения
политики безопасности.

Таблица
4. События аудита изменения политики

В
таблице 5 приведены основные события
безопасности, которые регистрируются
в журнале безопасности, если задана
политика аудита событий отслеживания
процессов.

Таблица
5. События отслеживания процессов

В
таблице 6 приведены основные события
безопасности, которые регистрируются
в журнале безопасности, если задана
политика аудита системных событий.

Таблица
6. Сообщения о системных событиях для
аудита системных событий

Управление
аудитом

Применение
политик аудита существенно повышает
безопасность и целостность системы.
Практически каждая компьютерная система
в сети должна быть настроена с ведением
журналов безопасности.

Администраторам
следует создать политику аудита,
определяющую содержимое отчетов о
событиях безопасности и регистрирующую
действия пользователей или компьютеров,
относящиеся к указанным категориям
событий.

Перед
реализацией политики аудита нужно
решить, для каких категорий событий
следует выполнять аудит. От параметров
аудита, заданных администратором для
категорий событий, зависит политика
аудита организации. Если параметры
аудита для конкретных категорий событий
определены, администраторы могут создать
политику аудита, соответствующую
требованиям организации.

Если
политика аудита не задана, определить,
что произошло при инциденте в сфере
безопасности, будет сложно или невозможно.
Если же настроить параметры аудита так,
чтобы события регистрировались при
многих санкционированных действиях,
журнал безопасности может быть заполнен
бесполезными данными.

В
сетях с минимальным требованиям к
безопасности подвергайте аудиту:

успешное
использование ресурсов, только в том
случае, если эта информация вам необходима
для планирования;

успешное
использование важной и конфиденциальной
информации.

В
сетях со средними требованиями к
безопасности подвергайте аудиту:

успешное
использование важных ресурсов;

удачные
и неудачные попытки изменения стратегии
безопасности и административной
политики;

успешное
использование важной и конфиденциальной
информации.

В
сетях с высокими требованиями к
безопасности подвергайте аудиту:

удачные
и неудачные попытки регистрации
пользователей;

удачное
и неудачное использование любых ресурсов;

удачные
и неудачные попытки изменения стратегии
безопасности и административной
политики.

Журналы
сбоев часто оказываются более
информативными, чем журналы успешного
выполнения операций, потому что сбои
обычно свидетельствуют об ошибках.
Например, успешный вход пользователя
в систему обычно считается нормальным
развитием событий. Если кто-то безуспешно
пытается несколько раз войти в систему,
это может быть признаком использования
чужих учетных данных. События, происходящие
на компьютере, регистрируются в журналах
событий.

Перед
реализацией политики аудита в организации
следует определить способы сбора,
организации и анализа данных. От большого
объема данных аудита мало пользы, если
отсутствует план их использования.
Кроме того, аудит компьютерных сетей
может отрицательно сказываться на
производительности систем. Даже если
влияние определенного сочетания
параметров на компьютер конечного
пользователя практически незаметно,
на сервере с высокой нагрузкой оно может
оказаться существенным. Таким образом,
перед заданием новых параметров аудита
в рабочей среде следует проверить, не
ухудшит ли это производительность
систем.