Журнал событий в windows 7/10

Настройка аудита объектов

Для сбора событий 4662 также необходимо настроить аудит объектов на объектах пользователя. Ниже приведен пример того, как включить аудит для всех пользователей, групп и компьютеров в домене Active Directory, но вы можете ограничиться и подразделением.

Примечание

Важно перед включением сбора данных о событиях, чтобы убедиться, что контроллеры доменов настроены правильно для записи необходимых событий

1. Откройте консоль Active Directory — пользователи и компьютеры.

2. Выберите домен или подразделение, которые содержат пользователей, группы или компьютеры, подлежащие аудиту.

3. Щелкните правой кнопкой мыши контейнер (домен или подразделение) и выберите Свойства.

4. Перейдите на вкладку Безопасность и щелкните Дополнительно.

5. В окне Дополнительные параметры безопасности перейдите на вкладку Аудит и щелкните Добавить.

6. Щелкните Выбор участника.

7. В поле Введите имена выбираемых объектов введите Все. Затем выберите Проверить имена и щелкните ОК.

8. Затем вы вернетесь в раздел Запись аудита. Выберите указанные ниже параметры.

   • Для параметра Тип выберите значение Успех.
   • Для параметра Область применения выберите значение Дочерние объекты пользователей.
   • В разделе Разрешения щелкните Полный доступ. Будут выбраны все разрешения, и при активации отобразятся события 4662. Затем можно снять флажки разрешений на перечисление и чтение, так как Defender для удостоверений обнаруживает только изменения в службах каталогов.

9. Щелкните ОК. Затем повторите описанные выше действия, но для параметра Область применения выберите Дочерние объекты группы, а в другой раз — Дочерние объекты компьютера.

Аудит для конкретных обнаружений

Для некоторых обнаружений требуется аудит определенных объектов Active Directory

Для этого выполните описанные выше действия, но обратите внимание на следующие изменения, касающиеся объектов для аудита и разрешений, которые необходимо включить

Включение аудита для объекта ADFS

1. Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в котором нужно включить журналы.

2. Перейдите в каталог Program Data > Microsoft > ADFS.

3. Щелкните правой кнопкой мыши ADFS и выберите Свойства.

4. Перейдите на вкладку Безопасность и щелкните Дополнительно.

5. В окне Дополнительные параметры безопасности перейдите на вкладку Аудит и щелкните Добавить.

6. Щелкните Выбор участника.

7. В поле Введите имена выбираемых объектов введите Все. Затем выберите Проверить имена и щелкните ОК.

   

   

   

   

   

   

   

   

   

   

8. Затем вы вернетесь в раздел Запись аудита. Выберите указанные ниже параметры.

   • Для параметра Тип выберите значение Все.
   • Для параметра Область применения выберите Этот объект и все дочерние объекты.
   • В разделе Разрешения выберите Чтение всех свойств и Запись всех свойств.

9. Нажмите кнопку ОК.

Включение аудита для объекта Exchange

1. Откройте редактор ADSI. Для этого щелкните Пуск, выберите Выполнить, введите ADSIEdit.msc и нажмите кнопку ОК.

2. В меню Действие выберите Подключиться к.

3. В диалоговом окне Параметры подключения в разделе Выбор известного контекста именования выберите Конфигурация и щелкните ОК.

4. Разверните контейнер Конфигурация. В контейнере Конфигурация вы увидите узел Конфигурация. Его имя будет начинаться так: «CN=Configuration,DC=…» .

5. Щелкните правой кнопкой мыши узел Конфигурация и выберите Свойства.

6. Перейдите на вкладку Безопасность и щелкните Дополнительно.

7. В окне Дополнительные параметры безопасности перейдите на вкладку Аудит и щелкните Добавить.

8. Щелкните Выбор участника.

9. В поле Введите имена выбираемых объектов введите Все. Затем выберите Проверить имена и щелкните ОК.

10. Затем вы вернетесь в раздел Запись аудита. Выберите указанные ниже параметры.

    • Для параметра Тип выберите значение Все.
    • Для параметра Область применения выберите Этот объект и все дочерние объекты.
    • В разделе Разрешения выберите Запись всех свойств.

11. Щелкните ОК.

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows
и журналы приложений и служб
. Журналы Windows
— используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб
— используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий»
или программу командной строки wevtutil
, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение
— хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность
— хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка
— в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система
— хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события
— если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer
— в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell
— в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования
— если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий»
предоставляет простой графический интерфейс для доступа к этим возможностям.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок

Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как получить доступ к пользовательским представлениям в средстве просмотра событий

Есть много способов открыть Event Viewer в Windows, и мы подробно обсудили все из них, здесь: Как запустить Event Viewer в Windows (все версии). Однако, если у вас нет времени, чтобы прочитать это руководство, быстрый способ запуска Просмотр событий — ввести «Просмотр событий» в поле поиска из Windows 10, в поле поиска меню «Пуск» из Windows 7 или в меню « Пуск». экран, если вы используете Windows 8.1.

Когда вы запускаете Event Viewer, это может занять некоторое время, так как все журналы инициализируются. Вы можете видеть, что первым элементом меню на левой панели является Custom Views . Нажмите или коснитесь, и вы увидите, что Windows уже предоставила одно настраиваемое представление: Административные события . Нажмите или нажмите на него.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

• Ваша ученая запись ограничена в правах доступа политиками безопасности.
• В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
• Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

• Откатом на контрольную точку, созданную, когда всё работало исправно.
• Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
• Сканированием дисков на предмет вирусного заражения.
• Восстановлением прав доступа системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Рабочие настройки показаны на скриншотах ниже.

Безопасность и аудит

журнал событий Windows PowerShell предназначен для указания активности и предоставления оперативных сведений для устранения неполадок.

однако, подобно большинству журналов событий приложений на основе Windows, Windows PowerShell журнал событий не обеспечивает безопасность. Его не следует использовать для аудита безопасности или записи конфиденциальных или собственных сведений.

Журналы событий предназначены для чтения и понимания пользователями. Пользователи могут выполнять чтение и запись в журнал. Пользователь-злоумышленник может прочитать журнал событий на локальном или удаленном компьютере, записать ложные данные, а затем предотвратить ведение журнала действий.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как открыть Event Viewer

В Windows самый быстрый способ запустить средство просмотра событий — найти его. Введите «Просмотр событий» в поле поиска на панели задач (в Windows 10) или в меню «Пуск» (в Windows 7) или непосредственно на начальном экране (в Windows 8.1). Затем нажмите или нажмите на результат поиска в окне просмотра событий .

Есть и другие способы открыть Event Viewer в Windows, но мы уже показали их в этом руководстве: Как запустить Event Viewer в Windows (все версии).

После запуска программы просмотра событий может потребоваться несколько секунд, поскольку она должна быть инициализирована перед первым использованием. Это должно выглядеть примерно так:

Давайте рассмотрим различные способы просмотра и отображения журналов Windows, а также как проверить, что они означают, чтобы вы могли устранять неполадки на вашем компьютере:

Знакомство с программой microsoft event viewer

После запуска event viewer windows на мониторе вплывет окно программы.

• в первом разделе с левой стороны находится собственно меню программы, оно имеет древовидную структуру, что очень удобно при использовании. Первая графа отвечает за настройки пользователя, то есть, здесь можно установить параметр, нужный вам;
• центральный раздел напрямую зависит от левого, поэтому для отображения информации в нем нужно щелкнуть мышкой по одному из пунктов первого раздела, если выбрать одно из событий, представленной в средней части, откроется окно с детальной инфой относительно его;
• раздел с правой стороны – это ряд ссылок, посредством которых происходит распределение событий в соответствии с заданными параметрами.

Может показаться странным, что настольное информативное приложение по достоинству не оценено пользователями, но это действительно так. Юзеру проще искать, скачивать и устанавливать сторонние утилиты для работы с системой, нежели использовать предустановленную программу.

Как использовать?

Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это вовсе не так, ведь данный инструмент невероятно полезен в отдельных ситуациях.

Например, если появляется синий экран или ваша система сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно быстро узнать в журнале событий системы. Если ошибка связана с обновлением драйверов, то там будет указано оборудование, с которым возникает проблема, и эффективные пути для ее решения.

Для упрощения поиска нужного отчета нужно запомнить время возникновения ситуации и, исходя из временных рамок, искать ошибку.

Также еще одной важной функцией является запись загрузки операционной системы, когда указывается ее начало, окончание и длительность. Более того, к выключению компьютера можно привязать необходимость ввода причины

Она будет отображаться в нашем журнале. Это особенно полезно для администраторов серверов, ведь им важна каждая деталь.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Журналы событий

Key Management Service
— записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.

У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства

В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт

Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.

В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.

Предисловие

Многие из Вас, наверное, принимали участие в крупных и долгосрочных проектах, где разрабатывалось приличное количество модулей, использовались многочисленные библиотеки, сценарии и т.д. Мне тоже приходилось участвовать в таких проектах. Один из них и натолкнул меня на мысль о создании этой статьи. В том проекте участвовало множество программистов, разработчиков и тестеров. Каждый разработчик писал небольшой модуль протоколирования (логирования, от англ. logging, — снимать, записывать показания с прибора) и трассировки своих модулей и наработок. Кто-то писал свои утилиты, которые потом разбирали эти протоколы, кто-то использовал буферизованный вывод, т.е. какого-то чёткого регламента по этой деятельности не было. Результатом всей этой деятельности стало большое количество разбросанных текстовых и бинарных файлов с понятными и непонятными расширениями, непонятного формата и содержания. Понятно, что при такой организации так и должно было случиться. Хуже того, бывает и так, что при выходе финальной версии не удаётся всё это убрать, и всё это оказывается у пользователя и заказчика.

Для решения этой проблемы операционная система Windows предоставляет такой сервис и программный интерфейс, как Eventlog. Этот инструментарий относится к числу базовых сервисов Windows, т.е. поставляется с самой системой и система сама же его использует. Стоит заметить, что эта возможность есть только у систем семейств WinNT/XP, т.к. приложение для протоколирования событий является сервисом. Также стоит заметить, что в Windows Vista и Windows Longhorn этот сервис существенно переработан, новый вариант в этой статье рассматриваться не будет.

Мы не будем также рассматривать этот замечательный инструмент с точки зрения администраторов, сборщиков журналов и прочих персон, которые призваны управлять системой. Итак, приступим.

Включение и выключение записи событий в журнал

Запись событий в журнал доступна только для операций с файлами на съемных дисках.

Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

1. Откройте окно настройки параметров программы.
2. В левой части окна в разделе Контроль безопасности выберите подраздел Контроль устройств.

   В правой части окна отобразятся параметры компонента Контроль устройств.

3. В правой части окна выберите закладку Типы устройств.

   На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. Выберите в таблице устройств Съемные диски.

   В верхней части таблицы станет доступной кнопка Запись событий в журнал.

5. Нажмите на кнопку Запись событий в журнал.

   Откроется окно Параметры записи событий в журнал.

6. Выполните одно из следующих действий:
   • Если вы хотите включить запись событий об операциях записи и удаления файлов на съемных дисках, установить флажок Включить запись событий в журнал.

     Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.

   • В противном случае снимите флажок Включить запись событий в журнал.
7. Укажите, информация о каких операциях должна записываться в журнал. Для этого выполните одно из следующих действий:
   • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал все события, установите флажок Сохранять информацию обо всех файлах.
   • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал только информацию о файлах определенного формата, в блоке Фильтр по форматам файлов установите флажки напротив нужных форматов файлов.
8. Укажите, о действиях каких пользователей Kaspersky Endpoint Security будет формировать события журнала. Для этого выполните следующие действия:
   1. В блоке Пользователи нажмите на кнопку Выбрать.

      Откроется стандартное окно Microsoft Windows Выбор пользователей или групп.

   2. Задайте или измените список пользователей и / или групп пользователей.

   Когда пользователи, указанные в блоке Пользователи, будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять сообщение на Сервер администрирования Kaspersky Security Center.

9. Нажмите на кнопку ОК в окне Параметры записи событий в журнал.
10. Нажмите на кнопку Сохранить, чтобы сохранить внесенные изменения.

Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События. Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

Get System Info – альтернатива стандартному просмотрщику Windows

Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info .

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «IncludeWindowseventlogs».

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.