Анализ журналов событий кратко

Обновлено: 08.07.2024

Приведу пару способов, что делать и как устранить ошибки популярными способами:

comments powered by HyperComments

Классы протоколирования событий

Для записи журналов событий существуют два разных API-интерфейса Windows. Для одного из них, который доступен, начиная с Windows Vista, предусмотрены классы-оболочки в пространстве имен System.Diagnostics.Eventing, а для другого классы-оболочки находятся в пространстве имен System.Diagnostics.

Пространство имен System. Diagnostics содержит классы для протоколирования событий, перечисленные ниже:

С помощью класса EventLog можно читать и записывать элементы журнала событий, а также устанавливать приложения в качестве источников событий.

Класс EventLogEntry представляет отдельный элемент журнала событий. С помощью EventLogEntryCollection можно выполнять итерации по элементам EventLogEntry.

Класс EventLogInstaller — это установщик компонента EventLog. Для создания источника событий он обращается к EventLog.CreateEventSource().

С помощью EventLogTraceListener трассировки могут записываться в журнал событий. Этот класс является реализацией абстрактного класса TraceListener.

Ядром протоколирования событий является класс EventLog. Члены этого класс описаны в таблице:

Перед записью событий потребуется создать источник событий. Для этого можно использовать метод CreateEventSource() класса EventLog либо класс EventLoglnstaller. Поскольку при создании источника событий нужны административные привилегии, программа установки является более подходящим выбором.

В следующем примере осуществляется проверка наличия источника событий по имени EventLogDemoApp. Если он не существует, создается объект типа EventSourceCreationData, который определяет имя источника EventLogDemoApp и имя журнала ProCSharpLog. Все события данного источника пишутся в журнал событий ProCSharpLog. По умолчанию это журнал приложений:

Имя источника событий — это идентификатор приложения, которое пишет элементы журнала событий. Системному администратору, читающему журнал, эта информация помогает идентифицировать элементы журнала событий для отображения их на категории приложения. Примерами имен источников событий могут служить LoadPerf — для монитора производительности, MSSQLSERVER — для Microsoft SQL Server, MsiInstaller — для Windows Installer, Winlogon, Tcpip, Time-Service и т.д.

Установка имени Application для журнала событий приводит к записи элементов событий в журнал приложений. Можно также создать собственный журнал, указав имя журнала событий. Файлы журнала располагаются в каталоге \System32\WinEvt\Logs.

С помощью EventSourceCreationData допускается также задавать еще несколько характеристик для журнала событий.

Способы очистки

Существует пять основных способов, с помощью которых можно очистить журнал событий:

Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.

Очистка ручным способом

В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.

Все что нужно, это:

Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Создание и использование bat файла

Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:

Через командную консоль

После этого все отчеты удалятся.

Через PowerShell

В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки – «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.

Давайте разберем все по шагам:

Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.

Программа CCleaner

Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.

Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.

Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.

Наиболее распространенные проблемы с файлом CBS.log

  • CBS.log поврежден
  • CBS.log не может быть расположен
  • Ошибка выполнения — CBS.log
  • Ошибка файла CBS.log
  • Файл CBS.log не может быть загружен. Модуль не найден
  • невозможно зарегистрировать файл CBS.log
  • Файл CBS.log не может быть загружен
  • Файл CBS.log не существует

CBS.log

Не удалось запустить приложение, так как отсутствует файл CBS.log. Переустановите приложение, чтобы решить проблему.

Проблемы, связанные с CBS.log, могут решаться различными способами. Некоторые методы предназначены только для опытных пользователей. Если вы не уверены в своих силах, мы советуем обратиться к специалисту

К исправлению ошибок в файле CBS.log следует подходить с особой осторожностью, поскольку любые ошибки могут привести к нестабильной или некорректно работающей системе. Если у вас есть необходимые навыки, пожалуйста, продолжайте

История включения компьютера с TurnedOnTimesView

TurnedOnTimesView — это простой, портативный инструмент для анализа журнала событий на время запуска и завершения работы. Утилита может использоваться для просмотра списка времени выключения и запуска локальных компьютеров или любого удаленного компьютера, подключенного к сети.

Поскольку это портэйбл версия (не требует установки), вам нужно всего лишь распаковать и запустить файл TurnedOnTimesView.exe. В нем сразу будут перечислены время запуска, время выключения, продолжительность времени безотказной работы между каждым запуском и выключением, причина выключения и код выключения.

Причина выключения обычно связана с компьютерами Windows Server, где мы должны указать причину, когда мы выключаем сервер.

Хотя вы всегда можете использовать средство просмотра событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView служит для этой цели с очень простым интерфейсом и точными данными. С какой целью вы контролируете время запуска и выключения вашего компьютера? Какой метод вы предпочитаете для мониторинга?

Журнал (лог) ошибок сервера

Кроме всего прочего, все внешние программы вносят значительные ошибки в статистику, на основании которой строится стратегия, что делать с сайтом дальше. Если конечно есть хоть какая-то стратегия развития. =)

Зная про это и разобравшись с кодами ошибок можно их устранить и наладить работу сайта так, чтобы сервер работал по возможности без ошибок.

О том, как найти лог ошибок сервера в в ISP-manager пользователя и рассмотрим в этой статье.

Использование информации файла

В центре окна просмотра событий расположен список ошибок, а справа перечень действий для фильтрации неполадок и ошибок

Управление простое. Кликните на строку, и в нижней части окна отобразится информация по проблеме. Каждая ошибка содержит атрибуты:

  • Имя – подраздел данных, в который сохранилась информация;
  • Источник – программа, ставшая катализатором неполадки;
  • Код – цифровой шифр, позволяющий найти в Интернете информацию по ошибке;
  • Пользователь и компьютер – показывают, кем была запущена задача – каким устройством и от имени какого пользователя. Особенно актуально на серверах.

Остальные сведения в просмотре событий не несут полезной информации, потому на них можно не обращать внимание

Другой информации о происходящем за устройством из записи событий узнать нельзя. В нем отображаются не все запущенные программы, а только сбойные. Таким образом, если необходимо просмотреть историю на компьютере, то нужно скачать кейлоггер.

Удалить информацию из этого файла также легко, как очистить журнал посещений в браузере. Для этого перейдите в раздел одним из указанных способов и найдите в левом блоке с деревом тот подраздел, который хотите очистить.


В этом чек-листе представлены действия, которые необходимы, если вы хотите мониторить логи систем безопасности и оперативно реагировать на инциденты безопасности, а также перечень возможных источников и событий, которые могут представлять интерес для анализа.

Общая схема действия

1. Определите, какие источники журналов и автоматизированные инструменты можно использовать для анализа

2. Скопируйте записи журнала в одно место, где вы сможете все их просмотреть и обработать

4. Определите, можно ли полагаться на метки времени журналов; рассмотрите различия часовых поясов

5. Обратите внимание на последние изменения, сбои, ошибки, изменения состояния, доступ и другие события, необычные для вашей IT-среды

6. Изучите историю событий, чтобы восстановить действия до и после инцидента

7. Сопоставьте действия в разных журналах, чтобы получить полную картину

8. Сформируйте гипотезу о том, что произошло; изучите журналы, чтобы подтвердить или опровергнуть её


Потенциальные источники логов безопасности

  • Журналы операционной системы серверов и рабочих станций
  • Журналы приложений (например, веб-сервер, сервер баз данных)
  • Журналы инструментов безопасности (например, антивирус, инструменты обнаружения изменений, системы обнаружения/предотвращения вторжений)
  • Исходящие журналы прокси-сервера и журналы приложений конечных пользователей
  • Не забудьте также рассмотреть другие источники событий безопасности, не входящие в журналы.

Стандартное расположение логов

  • Операционная система Linux и основные приложения: /var/log
  • Операционная система Windows и основные приложения: Windows Event Log (Security, System, Application)
  • Сетевые устройства: обычно регистрируются через syslog; некоторые собственное расположение и форматы

Что искать в логах Linux

Что искать в логах Windows

Идентификаторы событий перечислены ниже для Windows 2008 R2 и 7, Windows 2012 R2 и 8.1, Windows 2016 и 10. (В оригинальной статье используются в основном идентификаторы для Windows 2003 и раньше, которые можно получить, отняв 4096 от значений указанных ниже EventID)

Большинство событий, приведенных ниже, находятся в журнале безопасности (Windows Event Log: Security), но некоторые регистрируются только на контроллере домена.

Тип события EventID
События входа и выхода Successful logon 4624; failed logon 4625; logoff 4634, 4647 и т.д.
Изменение аккаунта Created 4720; enabled 4726;
changed 4738; disabled 4725; deleted 630
Изменение пароля 4724, 4723
Запуск и прекращение работы сервисов 7035,7036, и т.д.
Доступ к объектам 4656, 4663

Что искать в логах сетевых устройств

Изучите входящие и исходящие действия ваших сетевых устройств.

Примеры ниже – это выдержки из логов Cisco ASA, но другие устройства имеют схожую функциональность.

Что искать в логах веб-сервера

Полезные ссылки

Если вам интересна эта тема, то пишите комментарии, мы будем рады вам ответить. Подписывайтесь в нашу группу VK и канал Telegram , если хотите быть в курсе новых статей.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

Локальная политика безопасности Windows 10

Заметка о том, как провести аудит событий безопасности в операционной системе. Изучив эту заметку, вы ознакомитесь с подсистемой безопасности на примере Windows 10. После чего вы сможете самостоятельно проводить аудит событий безопасности операционных систем Windows.

Политика аудита

Для запуска введите его название в строке поиска.

Как открыть локальную политику безопасности

В политике аудита находится набор параметров безопасности по категориям. В свойствах выбранной категории можно влачить фиксацию в журнале определенного события.

События входа и выхода

При анализе журнала вы сможете посмотреть пытались ли злоумышленники зайти в операционную систему. Если да, тогда, сколько было попыток и были ли успешные попытки.

Аудит входа в систему

Проверим, как это работает. Я включу оба типа событий.

Учет ведется для каждой учетной записи, в том числе при попытке войти на рабочую станцию, которая находится в контроллере домена.

Теперь я попробую ввести неверный пароль, пытаясь зайти под одним пользователем. А затем совершить удачную попытку входа под другим пользователем.

Я ввел несколько раз неправильный пароль, пытаясь зайти под одной учетной записью, а затем зашел под своей учетной записью.

Для просмотра событий нужно открыть приложение просмотр событий.

Затем выбрать пункт меню журналы Windows –> Безопасность. В журнале будут отображены неудачные и удачные попытки входа в систему.

Приложение просмотр событий в Windows

Кликнув на событие, вы можете просмотреть его свойства и подробности.

Неудачные попытки входа в систему

Существуют следующие типы входов операционную систему Windows.

События администрирования

Вернемся к приложению локальная политика безопасности. Рассмотрим аудит управления учетными записями.

Данный аудит фиксирует события, которые связаны с управлением учетными записями. Фиксируются изменения в учетных записях. Если вы добавите новую учетную запись пользователя, или удалите существующую, то в журнале будет запись о том кто (имя учетной записи) когда и какое действие с учетной записью (создал, удалил, изменил) произвел.

Для примера я включил оба типа событий.

Аудит управления учетными записями в Windows

Затем я изменил тип учетной записи – сделал пользователя администратором.

Изменение учетной записи пользователя

В журнале безопасности появилась соответствующая запись.

Журнал безопасности Windows: аудит учетных записей

Если присмотреться, можно увидеть несколько записей. Это связано с тем, что когда я назначил пользователя администратором, то он стал членом групп, в которые входит администратор. На каждую группу создалась соответствующая запись.

Аудит изменения политики

Данный параметр фиксирует события связанные с изменением политик аудита. Разберемся на примере. Я включил оба типа событий.

Аудит изменения политики

После чего я добавил пользователя Local use в свойства прав архивация файлов и каталогов.

Теперь в журнале безопасности мы видим соответствующую запись об изменении прав пользователя.

Попробуйте выполнить какие-либо действия с политиками и отследить их в журнале безопасности операционной системы.

Аудит использования привилегий

Аудит использования привилегий фиксирует события связанные с применением пользователем назначенных ему привилегий.

Например, у пользователя есть привилегия на изменение системного времени. Включите тип события успех в аудите.

Измените системное время.

Изменение системного времени в Windows 10

В журнале безопасности вы увидите соответствующую запись о том, что системное время изменено.

Событие безопасности: изменение системного времени

Аудит событий операционной системы

Для аудита событий происходящих с операционной системой (например, отключение элементов безопасности системы) предназначен параметр аудит системных событий.

Я включу аудит событий с типом успех. Затем очищу журнал аудита событий.

Очистка журнала событий безопасности

После этого действия журнал будет содержать одну запись – журнал аудита был очищен. В записи содержится имя пользователя, который выполнил очистку журнала.

Свойство события очистка журнала

Аудит доступа пользователя к объектам

Этот аудит фиксирует события, которые связаны с доступом к файлам, папкам, реестру, оборудованию и так далее. При этом можно настроить аудит на различные типы доступа к папкам и файлам, например чтение, изменение, печать.

Я включу аудит двух типов событий.

Этот вид аудита в операционной системе Windows доступен только для файловой системы NTFS. При этом аудит доступен, если включить его в самом объекте.

Аудит безопасности файлов

Тип события: чтение и выполнение файла

Для примера я создам текстовый фал. Для настройки нужно перейти в его свойства -> безопасность -> дополнительно -> аудит. Далее следует добавить субъект и разрешения.

Я установил тип успех на чтение и выполнение этого файла.

После применения аудита я открыл и прочитал файл. Об этом появилась соответствующая запись в журнале безопасности.

Управление журналом аудита

Если вы войдете в операционную систему под учетной записью обычного пользователя, то вы не сможете просмотреть журнал событий безопасности.

Ошибка доступа к журналу безопасности Windows

Добавить пользователя в журнал безопасности

При необходимости администратор может настроить вид журнала безопасности для определенного пользователя. Делается это с помощью меню фильтр текущего журнала.

Фильтр текущего журнала безопасности

На этом короткое руководство по аудиту событий безопасности в операционной системе Windows закончено.

Если у вас возникли вопросы – задавайте их в комментариях к данной заметке.

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

АНАЛИЗ СОСТОЯНИЯ ОПЕРАЦИОННОЙ СИСТЕМЫ И СИСТЕМНЫХ СОБЫТИЙ

Аудит операционной системы семейства Windows – это процесс, предназначенный для обнаружения и регистрации событий, происходящих в системе, для проведения последующего анализа. Система аудита, встроенная в ОС Windows, позволяет фиксировать большинство событий, происходящих в ней, а сами события регистрируются в специальных журналах Windows. Следует отметить, что информация, которая регистрируется в вышеуказанных журналах, порядок настройки регистрируемых параметров и порядок анализа событий, происходящих в системе, зависят от типа операционной системы. Например, для операционных систем Windows XP фиксация событий, влияющих на безопасность системы, возможна только после активации хотя бы одного из параметров, подлежащих контролю. А в более поздних вариантах операционных систем некоторые события безопасности регистрируются постоянно, независимо от настроек аудита.

Типы событий операционных систем


Журналы событий и их включение


Все события, имевшие место на вашем компьютере, записываются в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, который имеет подключи, соответствующие имеющимся журналам (Система, Безопасность и т.д.). А это значит, что пользователь ПК имеет возможность создавать новые журналы, адаптированные под его запросы.

И еще несколько слов об окне Рис.2. При открытии любого из журналов событий Windows, окно делится на три вертикальных подокна. Первое (левое) подокно (см.4 Рис.2) служит для выбора соответствующего журнала. Второе (среднее) подокно (см.5 Рис.2) служит для анализа событий. И третье (правое подокно) содержит набор органов управления для выполнения определенных действий со стороны пользователя компьютера. Среднее окно (см.5 Рис.2) является основным источником проведения анализа.

Анализ событий в операционных системах Windows

Если на вашем ПК периодически проявляются сбои, то эти факты однозначно должны послужить причиной проведения анализа. Если же внешних проявлений сбоев не отмечается, то пользователям все равно периодически необходимо открывать журналы событий и оценивать их с целью выявления повторяющихся ошибок и предупреждений, т.к. эти ошибки могут привести к полному отказу вашего компьютера. Кроме этого, Журнал безопасности может помочь вам выявить случаи злонамеренных или неумышленных, но опасных действий пользователей, имеющих доступ к вашему ПК.

Для проведения анализа событий, имевших место на вашем ПК, необходимо открыть соответствующие журналы событий и найти события, которые предшествовали неустойчивой работе (сбоям) компьютера. При этом делается привязка по времени внешнего проявления неустойчивой работы (сбоя) компьютера и событий, зафиксированных в Журналах событий. Если все зафиксированные в Журналах события четко привязываются к системному времени (см.14 Рис.2), то внешнее проявление (сбой, зависание и т.п.) вам необходимо зафиксировать самостоятельно.

Если неустойчивой работы ПК не отмечалось, то целесообразно просто просмотреть события за определенный период во всех имеющихся журналах.



Читайте также: