Введение
В предыдущей части статьи рассказывалось о базовых концепциях программы Windows 7 «Просмотр событий». В этой статье речь пойдет о настраиваемых представлениях, сортировке, группировке, фильтрации, а также о подписках на события.
В предыдущих версиях системных утилит «Просмотр событий» уже имелась возможность фильтрации событий непосредственно в журнале событий, для создания которой требовалось указывать определенное количество правил. Они в свою очередь определяли всего-навсего отображение или скрытие правил в журнале событий. Начиная с операционной системы Windows Vista, фильтрация событий стала одним из преимуществ в функционале данной утилиты, которая позволяет фильтровать события для исключения или включения их в набор результатов. Вы можете создать набор правил, который будут использоваться при отборе событий из указанных источников, и отображении только тех событий, свойства которых удовлетворяют указанным правилам. В свою очередь, сортировка по типу упрощает отделение сообщений о критических ошибках от предупреждений и прочих сообщений, сортировка по источнику – отслеживание событий из определенных источников, а сортировка по коду – выявление повторяющихся событий.
Использование фильтров в большинстве случаев существенно экономит время при поиске неисправностей и отладке системных ошибок. Сохранять проделанную работу и созданные фильтры позволяют настраиваемые представления. Сохраненный фильтр называется настраиваемым представлением, который создан на основе XPath-запросов. XPath – это язык запросов, позволяющий обращаться к определенным частям XML-документов. В просмотре событий XPath-выражения используются для поиска и выборки элементов журналов событий в отфильтрованное представление.
Чтобы создать настраиваемое или отфильтрованное представление в просмотре событий, скопируйте XPath-запрос и сохраните его в файле пользовательского представления просмотра событий. Запустив этот запрос снова, можно воссоздать соответствующее настраиваемое представление или фильтр на любом компьютере с новыми операционными системами.
При помощи программы «Просмотр событий» можно использовать централизованную регистрацию событий с использованием механизма пересылки событий и копирования журналов, которые ведутся на разных компьютерах, в централизованное хранилище, где можно анализировать сразу все журналы. Данный механизм, который практически не изменился со времен создания операционной системы Windows Vista, позволяет вам пересылать сведения о событиях на любой компьютер, который выполняет протоколирование событий. В связи с этим, можно проводить анализ в реальном времени для обнаружения попыток несанкционированного проникновения на компьютеры организации, а также домашней локальной сети.
Если говорить вкратце, то сама настройка централизованной регистрации событий выполняется в несколько этапов. Сначала нужно настроить сбор и пересылку событий, а затем назначается сервер сбора событий и на нем определяются подписки, для каждого компьютера с указанными журналами и типами событий. После создания и активации подписки начинается процесс получения событий, которые можно просматривать и обрабатывать точно таким же образом, как и любые локальные события. Поскольку протокол пересылки событий использует стандартные протоколы HTTP и HTTPS, то вполне возможна пересылка событий через любые брандмауэры при условии, что на них открыты TCP-порты 80 и 443. А за сам процесс передачи и сбора информации отвечают служба удаленного управления Windows (WinRM) и служба сбора событий Windows (Wecsvc).
Автоматизация оповещения по событиям 11707
Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.
Тут главное заполнить:
- Адрес вашего SMTP сервера
- От кого будет письмо
- Кому отправлять письмо
- Пароль от ящика отправителя
$Subject = «Установлено новое ПО» # Тема сообщения $Server = «smtp.pyatilistnik.org» # Тут пишем ваш SMTP Server $From = “install@pyatilistnik.org” # От кого будет отослано письмо $To = «ivan@pyatilistnik.org» # Кому отправляется письмо $Pwd = ConvertTo-SecureString «123456» -AsPlainText -Force #Пароль учетной записи отправителя # (Внимание! Используйте очень ограниченную учетную запись для отправителя, поскольку пароль, сохраненный в скрипте, не будет зашифрован) $Cred = New-Object System.Management.Automation.PSCredential(«From@domain.com» , $Pwd) #Sender account credentials $encoding = ::UTF8 #Установка кодировки в UTF8 для корректного отображения сообщения #Команда Powershell для фильтрации журнала безопасности об установленном программном событии $Body=Get-WinEvent -FilterHashtable @{LogName=»Application»;ID=11707;ProviderName=’MsiInstaller’} | Select TimeCreated, Message, UserID | select-object -first 1 #Отправка электронной почты. Send-MailMessage -From $From -To $To -SmtpServer $Server -Body “$Body” -Subject $Subject -Credential $Cred -Encoding $encoding. В результате вы получите письмо вот такого содержания:
В результате вы получите письмо вот такого содержания:
@{TimeCreated=04/10/2020 15:40:11; Message=Product: Log Parser 2.2 — Installation completed successfully.; UserId=S-1-5-21-4284852150-1823218374-53464103-500}
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Get-WinEvent -FilterHashtable @{LogName=»Application»;ID=11707;ProviderName=’MsiInstaller’} | Select TimeCreated, Message, UserID | select-object -first 1
Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.
Как научиться читать журнал событий windows ?
Впрочем, можно не гадать. Microsoft имеет официальную страницу поддержки по сообщениям системы. Если вас интересует конкретное событие, вы можете посетить страницу в сети:
Однако, по моему мнению, очень хорошим сервисом, который поможет читать журнал событий Windows , является сервис
В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:
Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.
Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.
Приложение A — минимально рекомендованный минимальный параметр политики аудитаAppendix A — Minimum recommended minimum audit policy
Если политика аудита Организации включает дополнительный аудит в соответствии с потребностями, это нормально.If your organizational audit policy enables additional auditing to meet its needs, that is fine. Ниже приведена минимальная политика аудита, необходимая для включения событий, собираемых как базовыми, так и целевыми подписками.The policy below is the minimum audit policy settings needed to enable events collected by both baseline and targeted subscriptions.
КатегорияCategory | ПодкатегорияSubcategory | Параметры аудитаAudit settings |
---|---|---|
Вход в учетную записьAccount Logon | Проверка учетных данныхCredential Validation | Успех и отказSuccess and Failure |
Управление учетными записямиAccount Management | Управление группами безопасностиSecurity Group Management | ВыполненоSuccess |
Управление учетными записямиAccount Management | Управление учетными записями пользователейUser Account Management | Успех и отказSuccess and Failure |
Управление учетными записямиAccount Management | Управление учетными записями компьютеровComputer Account Management | Успех и отказSuccess and Failure |
Управление учетными записямиAccount Management | Другие события управления учетными записямиOther Account Management Events | Успех и отказSuccess and Failure |
Подробное отслеживаниеDetailed Tracking | Создание процессаProcess Creation | ВыполненоSuccess |
Подробное отслеживаниеDetailed Tracking | Завершение процессаProcess Termination | ВыполненоSuccess |
Вход в систему и выход из нееLogon/Logoff | Утверждения пользователей и устройствUser/Device Claims | Не заданоNot configured |
Вход в систему и выход из нееLogon/Logoff | Расширенный режим IPsecIPsec Extended Mode | Не заданоNot configured |
Вход в систему и выход из нееLogon/Logoff | Быстрый режим IPsecIPsec Quick Mode | Не заданоNot configured |
Вход в систему и выход из нееLogon/Logoff | ВторичLogon | Успех и отказSuccess and Failure |
Вход в систему и выход из нееLogon/Logoff | ВыходLogoff | ВыполненоSuccess |
Вход в систему и выход из нееLogon/Logoff | Другие события входа в систему и выхода из нееOther Logon/Logoff Events | Успех и отказSuccess and Failure |
Вход в систему и выход из нееLogon/Logoff | Специальный входSpecial Logon | Успех и отказSuccess and Failure |
Вход в систему и выход из нееLogon/Logoff | Блокировка учетной записиAccount Lockout | ВыполненоSuccess |
Доступ к объектамObject Access | Приложение созданоApplication Generated | Не заданоNot configured |
Доступ к объектамObject Access | Общий доступ к файламFile Share | ВыполненоSuccess |
Доступ к объектамObject Access | Файловая системаFile System | Не заданоNot configured |
Доступ к объектамObject Access | Другие события доступа к объектуOther Object Access Events | Не заданоNot configured |
Доступ к объектамObject Access | РеестрRegistry | Не заданоNot configured |
Доступ к объектамObject Access | Съемные носителиRemovable Storage | ВыполненоSuccess |
Изменение политикиPolicy Change | Аудит изменений политикиAudit Policy Change | Успех и отказSuccess and Failure |
Изменение политикиPolicy Change | Изменение политики на уровне правил MPSSVCMPSSVC Rule-Level Policy Change | Успех и отказSuccess and Failure |
Изменение политикиPolicy Change | Другие события изменения политикиOther Policy Change Events | Успех и отказSuccess and Failure |
Изменение политикиPolicy Change | Изменение политики проверки подлинностиAuthentication Policy Change | Успех и отказSuccess and Failure |
Изменение политикиPolicy Change | Изменение политики авторизацииAuthorization Policy Change | Успех и отказSuccess and Failure |
Использование привилегийPrivilege Use | Использование конфиденциальных правSensitive Privilege Use | Не заданоNot configured |
СистемаSystem | Изменение состояния безопасностиSecurity State Change | Успех и отказSuccess and Failure |
СистемаSystem | Расширение системы безопасностиSecurity System Extension | Успех и отказSuccess and Failure |
СистемаSystem | Целостность системыSystem Integrity | Успех и отказSuccess and Failure |
Просмотр журнала событий Windows
В панели справа предлагается три раздела: Настраиваемые представления, Журналы Windows и Журналы приложений и служб.
В разделе Настраиваемые представления перечислены все определенные в текущей системе виды событий (которых более подробно рассматриваются чуть позже). В случае выполнения фильтрации в каком-то из журналов событий или создания нового представления событий, новое представление сохраняется именно в этом разделе.
В разделе Журналы Windows отображается несколько подразделов, четыре из которых представляют основные журналы, которые ведет сама система.
В журналы событий Приложение и Система следует заглядывать регулярно для своевременного выявления любых существующих проблем и предупреждений о том, что какие-то проблемы могут появиться в будущем. Журнал Безопасность не является важным для каждодневной процедуры обслуживания. В него нужно заглядывать только при наличии подозрений в нарушении безопасности компьютера, например, для выяснения того, кто входит в систему.
В журнале Система фиксируются ошибки драйверов устройств, но в Windows 7 доступны и другие инструменты, позволяющие более простым образом изучать проблемы с устройствами. Например, диспетчер устройств, который, отображает значок для тех устройств, с которыми возникли проблемы, и позволяет просматривать описание этих проблем, открывая ведомости свойств устройств. Также есть утилита Сведения о системе (Msinfo32.exe), которая отражает сведения обо всех неполадках с оборудованием в разделах Сведения о системе > Аппаратные ресурсы > Конфликты и совместное использование и Сведения о системе > Компоненты > Устройства с неполадками.
При выборе того или иного журнала в центральном окне появляется список всех доступных в данном журнале событий вместе с информацией о дате и времени, когда произошло каждое событие, его источнике, типе (Сведения, Предупреждение или Ошибка) и другими подобными сведениями. Ниже перечислены основные интерфейсные изменения и новые функциональные возможности, которые появились в оснастке Просмотр событий в Windows.
- В панели Область просмотра основные данные о событиях теперь отображаются на вкладке Общие, а дополнительные более конкретные — на вкладке Подробности. Эту панель можно включать и выключать, выбирая в меню Вид пункт Область просмотра.
- Данные о событиях теперь хранятся в формате XML. Просматривать их схему можно, выбирая переключатель Режим XML на вкладке Подробности внутри панели Область просмотра.
- Команда Фильтр теперь позволяет генерировать запросы в формате XML.
- Щелчок на ссылке Создать настраиваемое представление теперь позволяет создавать новое представление на основании того или иного журнала событий, конкретного типа событий, идентификатора события и т.д.
- К событиям теперь можно привязывать задачи, выполняя щелчок сначала на интересующем событии, а потом на ссылке Привязать задачу к событию и затем создавая с помощью соответствующего мастера нужную задачу, которая предусматривает либо запуск какой-то программы или сценария, либо отправку электронного сообщения при каждом возникновении данного события.
- Избранные события теперь можно сохранять в файле формата Event File (.elf).
Наиболее распространенные сферы деятельности, специально для которых созданы профильные программные продукты. — это регламентированный учёт, торговый и складской учёт, управленческий учёт и комплексные решения
В разделе Журналы приложений и служб перечисляются программы, компоненты и службы, для которых поддерживается стандартный формат регистрации событий, что является новинкой в Windows 7. Раньше журналы всех элементов в этом разделе сохранялись в отдельных текстовых файлах, к которым нельзя было получать доступ в более старых версиях оснастки Просмотр событий кроме как путем специального открытия журнального файла.
Приложение B: Рекомендуемая минимальная политика ACL системы реестраAppendix B — Recommended minimum registry system ACL policy
Клавиши Run и RunOnce полезны для атак злоумышленников и сохранения вредоносных программ.The Run and RunOnce keys are useful for intruders and malware persistence. Он позволяет запускать код (или запускать только один раз, а затем удалять его, соответственно), когда пользователь входит в систему.It allows code to be run (or run only once then removed, respectively) when a user logs into the system.
В реестре это можно легко расширить для других клавиш с начальными точками автоматического выполнения.This can easily be extended to other Auto-Execution Start Points keys in the registry.
Используйте указанные ниже цифры, чтобы узнать, как настроить эти разделы реестра.Use the following figures to see how you can configure those registry keys.
Как использовать содержимое журнала
Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?
Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.
Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.
Как осуществить просмотр?
Чтобы осуществлять просмотр содержимого журнала, нужно запустить соответствующее приложение. Делается это так:
- Переходим в меню «Пуск» => «Панель управления».
- Выбираем раздел «Администрирование».
- В этом разделе щелкаем по имени компоненты «Просмотр событий».
- Запустится программа с окном характерного вида – так называемая «оснастка». Эта оснастка и есть визуальный интерфейс для нашего протокола.
Того же самого можно добиться, если в окошке «Выполнить» (вызывается из того же меню «Пуск») набрать команду mmc. Эта команда запустит общий интерфейс для всех оснасток, в котором нужно будет перейти в меню «Консоль» => «Добавить или удалить оснастку» и из перечня всех оснасток вызвать нужную. В седьмой версии Windows все это проделывается так же, как и в предыдущей. Окошко «Выполнить» можно вызвать и при помощи клавиатурной комбинации «Win» + «R» — результат будет тем же. По итогу наших манипуляций появится окно такого вида:
Сбор журналов аудита НЗП с помощью монитора AzureCollect WIP audit logs using Azure Monitor
Вы можете собирать журналы аудита с помощью монитора Azure.You can collect audit logs using Azure Monitor. Просмотр источников данных журнала событий Windows на мониторе Azure.See Windows event log data sources in Azure Monitor.
Просмотр событий НЗП на мониторе AzureTo view the WIP events in Azure Monitor
-
Использование существующей или создание новой рабочей области для анализа журналов.Use an existing or create a new Log Analytics workspace.
-
В окне » > Расширенные параметры службы аналитики журналов» выберите » данные».In Log Analytics > Advanced Settings, select Data. В журналах событий Windows добавьте журналы для получения:In Windows Event Logs, add logs to receive:
Примечание
Если вы используете журналы событий Windows, имена журналов событий можно найти в разделе Свойства события в папке «события» (приложение и службы Logs\Microsoft\Windows, выберите EDP-Audit-Regular и EDP-Audit-TCB).If using Windows Events Logs, the event log names can be found under Properties of the event in the Events folder (Application and Services Logs\Microsoft\Windows, click EDP-Audit-Regular and EDP-Audit-TCB).
-
Скачайте Microsoft .Download Microsoft .
-
Чтобы получить MSI для установки Intune в соответствии с инструкциями в статье для монитора Azure, распакуйте: MMASetup-. exe/c/t: Установите Microsoft Monitoring Agent на устройства НЗП с помощью идентификатора рабочей области и первичного ключа.To get MSI for Intune installation as stated in the Azure Monitor article, extract: MMASetup-.exe /c /t: Install Microsoft Monitoring Agent to WIP devices using Workspace ID and Primary key. Дополнительные сведения об идентификаторах рабочей области и первичном ключе можно найти в > расширенном параметре» Анализ журналов».More information on Workspace ID and Primary key can be found in Log Analytics > Advanced Settings.
-
Чтобы развернуть MSI с помощью Intune, в параметрах установки добавьте:/q/norestart NOAPM = 1 ADD_OPINSIGHTS_WORKSPACE = 1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE = 0 OPINSIGHTS_WORKSPACE_ID = OPINSIGHTS_WORKSPACE_KEY = AcceptEndUserLicenseAgreement = 1To deploy MSI via Intune, in installation parameters add: /q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID= OPINSIGHTS_WORKSPACE_KEY= AcceptEndUserLicenseAgreement=1
Примечание
Замените & , полученное на шаге 5.Replace & received from step 5. В параметрах установки не замещайте & в кавычках («» или «»).In installation parameters, don’t place & in quotes («» or »).
-
После развертывания агента данные будут получены примерно в течение 10 минут.After the agent is deployed, data will be received within approximately 10 minutes.
-
Чтобы выполнить поиск журналов, перейдите > в журнал рабочей области для анализа журналови введите событие в поиск.To search for logs, go to Log Analytics workspace > Logs, and type Event in search.
Пример.Example
Очистка, удаление и отключение журнала
На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».
Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:
for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»
Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:
wevtutil el | Foreach-Object {wevtutil cl «$_»}
При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.
Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.
Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».
Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.
Подписка на события
Как говорилось выше, программа «Просмотр событий» позволяет просматривать события всех компьютеров локальной сети на любом компьютере, даже удаленном. Система может получать копии событий, зарегистрированных на различных удаленных компьютерах, и сохранять их локально. Для реализации этих действий нужно создавать пересылки и сбор событий, а также создавать подписки.
Для пересылки событий необходимо включить и настроить ее на компьютерах, а затем определить подписки. Для того чтобы настроить пересылку и сбор пересылаемых событий, выполните следующие действия:
- Войдите в систему всех компьютеров-сборщиков и компьютеров-источников событий. Для этого желательно использовать учетную запись домена с правами администратора.
- Настройте автоматический запуск с задержкой для службы «Удаленное управление Windows», далее WinRM;
- Запустите службу WinRM;
- Создайте прослушиватель WinRM;
- Добавьте учетную запись компьютера-сборщика данных к локальной группе «Администраторы» на каждом компьютере-источнике событий;
- Разрешите исключение брандмауэра WinRM, если в системе включен брандмауэр.
Подробно о настройке компьютеров для пересылки и сбора событий средствами командной строки будет рассказано в третей части статьи.
Создание подписок
После настройки пересылки и сбора событий на компьютерах для того чтобы можно было получать пересылаемые события, создайте одну или несколько подписок на события. Для того чтобы создать подписку на события, выполните следующие действия:
- На компьютере, который будет выполнять сбор событий, войдите в систему с правами администратора и откройте оснастку «Просмотр событий». Затем или нажмите правой кнопкой мыши на узле «Просмотр событий» для вызова контекстного меню и выберите команду «Подключиться к другому компьютеру», или в диалоговом окне «Выбор компьютера» введите имя, IP-адрес или полное доменное имя нужного компьютера в поле «Другой компьютер» и нажмите на кнопку «ОК»;
Нажмите правой кнопкой мыши на узле «Подписки» и из контекстного меню выберите команду «Создать подписку»;
В окне «Свойства подписки» введите имя подписки в поле «Название подписки». При желании в поле «Описание» можете ввести описание для созданной подписки;
В диалоге создания подписок по умолчанию конечным журналом является «Пересылаемые события». Имя журнала можно изменить в том случае, если это необходимо.
Для указания компьютера, пересылающего события на сервер, нажмите на кнопку «Выберите компьютеры» и в появившемся диалоговом окне выберите «Добавить доменный компьютер». В этом окне выберите нужный компьютер, после чего нажать на кнопку «ОК»;
Нажмите на кнопку «Выбрать события» и выберите команду «Изменить» для открытия «Фильтра запроса».
Выберите уровень событий при помощи флажков «Уровень событий». Для того чтобы отфильтровать один или несколько журналов, поставьте переключатель на опцию «По журналу» и в списке «Журналы событий» выберите нужные для вас журналы. В том случае, если вам будет нужно отфильтровывать журналы по источнику событий, то вы можете выбрать источники из списка «Источники событий». Параметр «По источнику» лучше оставить включенным.
Изначально служба сборщика событий использует для чтения исходных журналов учетную запись компьютера-сборщика событий. Для того чтобы указать другие учетные данные, нажмите на кнопку «Дополнительно». В диалоговом окне «Дополнительные параметры подписки» установите переключатель на учетную запись пользователя — «Определенный пользователь», а затем нажмите на кнопку «Пользователь и пароль», где нужно будет ввести учетные данные. Нажмите на кнопку «ОК».
Нажмите на кнопку «ОК». Подписка будет создана и добавлена в узел «Подписки» и, если операция была успешной, подписка будет иметь состояние «Активный».
Управление подписками
После того как будет создана подписка, копьютеры-источники будут пересылать события, которые располагаются в заданных журналах. Для просмотра подписок в программе «Просмотр событий» выберите узел «Подписки». Из перечня подписок выберите нужную для вас и выберите команду из меню «Действие» или из контекстного меню подписки. Доступны следующие команды:
- Свойства – открывает диалог настройки свойств подписки. Здесь можно изменить все свойства выбранной подписки, кроме имени и типа.
- Отключить – отключает выбранную подписку, прекращая пересылку и сбор событий.
- Включить – включает отключенную подписку, после чего возобновляется пересылка и сбор событий.
- Состояние выполнения – выводит состояние выполнения подписки.
- Удалить – удаляет выбранную подписку.
Классификация событий ОС
Далее мы приведем классификацию записей в журнале по их значению для пользователя. События делятся на те, что генерируются самой операционной системой, и те, что исходят от приложений и служб. Однако такая классификация не учитывает смысла фиксируемых явлений. Более подробная их группировка выглядит следующим образом:
- Группа «Приложение» включает реакции системы на некоторые результаты работы приложений. Например, почтовый сервер может оставлять в журнале записи об отправке и получении электронной почты. Соответствующие данные хранятся в файле %SystemRoot%\System32\Winevt\Logs\Application.Evtx.
- Группа «Безопасность» не нуждается в комментариях – сюда складируется все, что так или иначе затрагивает подсистему защиты от незаконных вторжений. Например, отмечаются удачные и неудачные попытки пользователя войти в систему. Адрес файла: %SystemRoot%\System32\Winevt\Logs\Security.Evtx.
- Группа «Установка» — здесь журнал событий Windows 7 логирует успешные и неуспешные попытки инсталлировать те или иные компоненты в процессе установки ОС. Так что если установка не увенчалась успехом или привела к нестабильной работе поставленной системы – анализ этого лога может помочь выявить источник проблемы. Файл хранится тут: %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.
- Группа «Система» — самая обширная сюда помещаются результаты инициализации драйверов, запуска служб и прочие критически важные для ОС сообщения. Файл %SystemRoot%\System32\Winevt\Logs\System.Evtx – место хранения этих сведений.
- Группа «Пересылаемые события» — это собрание информации о пересылках данных между серверами. Все результаты таких пересылок накапливаются в файле %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx.
- Хранилище «Internet Explorer» (%SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx) содержит логи работы браузера.
- Просмотреть логи взаимодействия пользователя с обновленным интерфейсом командной строки «Power Shell» можно тут: %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx.
- Регистрация неадекватного поведения оборудования ведется в файле %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx.
Все данные хранятся в популярном формате XML, поэтому для их чтения и обработки необходима оболочка наподобие журнала событий. Непосредственный просмотр событий в системе Windows 7 в файлах хотя и возможен, но крайне затруднителен. Однако заниматься этим нет нужды, так как журнал событий Windows 7 делает это за нас.
Что делать, если журнал событий не открывается
За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.
Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».
Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.
Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:
- Ваша ученая запись ограничена в правах доступа политиками безопасности.
- В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
- Некоторые системные компоненты повреждены или заблокированы вредоносной программой.
Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:
- Откатом на контрольную точку, созданную, когда всё работало исправно.
- Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
- Сканированием дисков на предмет вирусного заражения.
- Восстановлением прав доступа системных учетных записей к папкам \Windows\System32\winevt и \System32\LogFiles. Рабочие настройки показаны на скриншотах ниже.