Как отключить журнал событий - Flm-Krym.ru
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...

Как отключить журнал событий

Как остановить ведение журнала событий?

19.08.2011, 06:07

Как отключить ведение журнала безопасности с помощью команды AuditPol?
Приветствую. Нужно избавится от поехавшего бати параноика, но не совсем от него, а от его.

Ведение журнала лаборатории
Добрый день. Для оптимизации работы лаборатории, а именно уменьшения писанины и лучшей.

Нужен батник для создания отчета событий и их свойств из журнала событий на локальном компьютере
Пакетный файл, предназначенный для создания отчета событий и их свойств из журнала событий на.

Как исправить ошибки из журнала событий?
подскажите, пожалуйста, как исправить ошибки журнала событий windows xp ? Какую команду надо.

Роутер TL-WR1042ND + ведение журнала по аналогии в Журналом в веб-браузерах
Здравствуйте. Для выхода в сеть Интернет из дома применяется роутер TL-WR1042ND. Каким образом.

19.08.2011, 08:582

вообще это не мешает работе машине, или тебя папа наказывает))), он прав комп зомбирует

Добавлено через 3 минуты

19.08.2011, 09:56 [ТС]3

там нет ничего подобного. где было бы написано “отключить ведение журнала”

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

19.08.2011, 09:574

там нет ничего подобного. где было бы написано “отключить ведение журнала”

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

19.08.2011, 09:57
19.08.2011, 09:59 [ТС]5
19.08.2011, 10:126

там нет ничего подобного. где было бы написано “отключить ведение журнала”

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

пуск-администрирование-службы в них находишь -журнал событий windows ,жмеш правой кнопкой мыши, свойсва-отключить, режим работы вручную или отключено

Добавлено через 3 минуты
так проще, а в конфогурациях если бы разобрался можно отключить их навсегда и папа не разобрался бы ни когда, что произошло, а так он их опять включит и попу тебе на фашистский флаг порвет))))

19.08.2011, 10:17 [ТС]7

вот куда тут дальше.

а по второму способе пишет: Ошибка 5: отказано в доступе

19.08.2011, 10:258

вот куда тут дальше.

а по второму способе пишет: Ошибка 5: отказано в доступе

19.08.2011, 10:26 [ТС]9
19.08.2011, 10:2910
19.08.2011, 10:30 [ТС]11
19.08.2011, 10:3312

зайди как администратор

Добавлено через 2 минуты

19.08.2011, 10:33 [ТС]13

зайди как администратор

Добавлено через 2 минуты

тебе посто так кажется))))

19.08.2011, 10:4214

войди в безопасном режиме -при перезагрузке жми F8

Добавлено через 1 минуту
Как включить учетную запись Администратора.

Запускаем командную строку повышенного уровня, набрав cmd в поле поиска в меню Start (Пуск), щелкнув на иконке командной строки, которая появится в верхнее части меню Start (Пуск) правой кнопкой мыши, а затем выбрав пункт Run as administrator (Запуск от имени администратора) – или используя ярлык, созданный в предыдущей настройке.

Затем, вводим такую команду и нажимаем Enter (Ввод): net user administrator /active:yes (для русской ОС: net user Администратор /active:yes) С этого момента учетная запись Администратора будет доступна для выбора на экране Приветствия наряду с другими созданными учетными записями.

Если возникнет необходимость отключить эту учетную запись Администратора и сделать ее скрытой, введите эту команду в командной строке повышенного уровня и нажмите Enter (Ввод): net user administrator /active:no

Добавлено через 6 минут
или пуск-администрирование-службы(жмем правой кнопкой мыши –запустить от имени администратора–) если ошибка повторяется, то папа у тебя продвинутый чел, в консоли msc вкл, ведение журналов и удалил от туда все оснастки))))и теперь эту службу ни как не отключить,даже через реестр, будут жуткие глюки((((

Как отключить журнал событий

(Я, конечно, могу отключить службу “Журнал событий Windows”, но тогда перестанет работать “Служба SSTP”, а без неё не работает “Диспетчер подключений удаленного доступа”, а без него не работает “Общий доступ к подключению к Интернету (ICS)”, а вот эта гадость как раз мне нужна для второго “компа”. )

P.S. я здесь не спрашиваю: “для чего мне всё это вообще”
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Вт Апр 28, 2015 13:09 Заголовок сообщения:

–>

(Отдельно) Добавлено: Вт Апр 28, 2015 13:09 Заголовок сообщения:
У меня на 7×32 от этой службы зависят только Планировщик заданий и Сборщик событий Windows , а Служба SSTP вообще ни от чего не зависит.

Если всё так плохо, то можно поковырять HKLMSYSTEMCurrentControlSetServicesEventlog и в подпапках, где надо, для Retention проставить что-то, отличное от нуля.
Ну, а как очищать журнал, я надеюсь, известно.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Ср Апр 29, 2015 00:10 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 00:10 Заголовок сообщения:
Flasher писал(а):
Служба SSTP вообще ни от чего не зависит

Да если бы так. это в “Зависимостях” там написано, что ни от чего не зависит. На самом деле она не запускается, если не включен ЖС. Проверил.

Retention, отличный от 0, означает, что этот журнал не будет перезаписываться автоматически, по мере заполнения, а только вручную.

У меня постоянно появляется ошибка ipnathlp 31004. Искал по инету. нашёл ответ Микрософта, что: это ошибка драйверов сетевых плат, исправить никак, если всё работает, то и не обращайте внимания. Ну да бог ты с ней, я бы и не обращал внимания, но дело в том, что она появляется каждые 2-4 минуты! Всё записывается в лог, на диск. в результате диски в простое вообще не выключаются! вертятся без отдыха.
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Ср Апр 29, 2015 01:35 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 01:35 Заголовок сообщения:
790 писал(а):
дело в том, что она появляется каждые 2-4 минуты!

Так отключить показ ошибок и всё.
Можно ещё для системы полный доступ к файлу C:WindowsSystem32winevtLogsSystem.evtx запретить (если ошибка вообще оттуда, лучше сперва найти в этой папке получатель).

790 писал(а):
в результате диски в простое вообще не выключаются! вертятся без отдыха.

Ну, тут причины разные могут быть, начиная с настройки ЖД для активного плана электропитания. Как вариант, в настройках сетевой платы пункты пробуждения можно отключить. Хотя почему сетевая должна трогать все диски, если какие-то приложения того не требуют, конечно?
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Ср Апр 29, 2015 02:19 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 02:19 Заголовок сообщения:
ЖС – журнал событий Windows

Дело не показе ошибок Журналом событий, а в том, что они записываются в файл ..System.evtx или ..Application.evtx . Я запретил системе всякий доступ к этим файлам, но в результате служба Журнала событий вообще не запустилась после перезагрузки и отказывалась запуститься вручную, пока я не вернул доступ к файлам. Соответственно, не запустились и все остальные зависимые службы.

Настройки электропитания в порядке: отключать через 10 минут простоя. Сетевухи диск не трогают. Просто лог-файл System.evtx , естественно, расположен на HDD и чтоб в него записать, например, “ошибку” нужно дёрнуть этот самый HDD

Ошибку выдаёт: “Не найдено описание для события с кодом ( 31004 ) в источнике ( ipnathlp ). Либо вызывающий данное событие компонент не установлен на этот локальный компьютер, либо установка повреждена.”

От ошибки не избавиться, поэтому вопрос: как прекратить её запись в ..System.evtx . а лучше и всего остального, ибо нафиг не нужно.

(дискИ – потому что RAID-0)
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Ср Апр 29, 2015 03:17 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 03:17 Заголовок сообщения:
И всё же. Моё предложение отключить отчёт об ошибках в силе.

MIME-Version: 1.0
Content-Type: application/octet-stream; name=”Параметры отчетов о проблемах.lnk”
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=”Параметры отчетов о проблемах.lnk”
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Запускаем и метим нижний пункт.
В дополнение идём в gpedit.msc > Конфигурация пользователя > Административные шаблоны > Отчеты об ошибках Windows , открываем 3 корневых политики, проставляем Включить с нажатием кн. Применить , разумеется.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Чт Апр 30, 2015 01:30 Заголовок сообщения:

–>

(Отдельно) Добавлено: Чт Апр 30, 2015 01:30 Заголовок сообщения:
в gpedit давно уже всё выставлено как указано.

ярлычок, скрипт. извиняюсь за своё невежество, с такими вещами не работал, куда это вставлять, где включать – не знаю. и как потом вернуть обратно, если что-то не заработает.
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Чт Апр 30, 2015 09:13 Заголовок сообщения:

–>

(Отдельно) Добавлено: Чт Апр 30, 2015 09:13 Заголовок сообщения:
790 писал(а):
в gpedit давно уже всё выставлено как указано.

И касаемо записи в Журнал стоит “Включить”?
Про ярлычок и скрипт уже можно забыть, коли всё выставлено.
Для тех, кто в отношении данных вопросов не хотел оставаться невеждой, уже давным давно эти вещи не являются секретом.

Да, ещё пору важных политик по журналу:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows

    > Установщик Windows > Ведение журнала событий
    > Служба журнала событий > Настройка > Включить ведение журнала

Отключение обоих политик саму службу не отключат.
И как насчёт службы Сборщик событий Windows – она отключалась?
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Сб Май 02, 2015 20:44 Заголовок сообщения:

–>

(Отдельно) Добавлено: Сб Май 02, 2015 20:44 Заголовок сообщения:
Flasher писал(а):
790 писал(а):
в gpedit давно уже всё выставлено как указано.

И касаемо записи в Журнал стоит “Включить”?

Всё стоит во “Включена”

Flasher писал(а):
Конфигурация компьютера > Административные шаблоны > Компоненты Windows

    > Установщик Windows > Ведение журнала событий
    > Служба журнала событий > Настройка > Включить ведение журнала

Отключение обоих политик саму службу не отключат.

Здесь всё выключено.
Сборщик событий Windows – выключено.

Скрипты поизучаю немного позже. Большое спасибо.

Случайно нашёл причину “ошибки” – это виртуальная сетевая карта, когда её служба отключена. Значит нужно отключать и её тоже, когда она не нужна.

Ещё вопрос: как сохранить настройки gpedit, чтобы применить их разом после переустановки винды? Не настройки вида редактора, а сами ключи.
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Как отключить журнал событий

(Я, конечно, могу отключить службу “Журнал событий Windows”, но тогда перестанет работать “Служба SSTP”, а без неё не работает “Диспетчер подключений удаленного доступа”, а без него не работает “Общий доступ к подключению к Интернету (ICS)”, а вот эта гадость как раз мне нужна для второго “компа”. )

P.S. я здесь не спрашиваю: “для чего мне всё это вообще”
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Вт Апр 28, 2015 13:09 Заголовок сообщения:

–>

(Отдельно) Добавлено: Вт Апр 28, 2015 13:09 Заголовок сообщения:
У меня на 7×32 от этой службы зависят только Планировщик заданий и Сборщик событий Windows , а Служба SSTP вообще ни от чего не зависит.

Если всё так плохо, то можно поковырять HKLMSYSTEMCurrentControlSetServicesEventlog и в подпапках, где надо, для Retention проставить что-то, отличное от нуля.
Ну, а как очищать журнал, я надеюсь, известно.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Ср Апр 29, 2015 00:10 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 00:10 Заголовок сообщения:
Flasher писал(а):
Служба SSTP вообще ни от чего не зависит

Да если бы так. это в “Зависимостях” там написано, что ни от чего не зависит. На самом деле она не запускается, если не включен ЖС. Проверил.

Retention, отличный от 0, означает, что этот журнал не будет перезаписываться автоматически, по мере заполнения, а только вручную.

У меня постоянно появляется ошибка ipnathlp 31004. Искал по инету. нашёл ответ Микрософта, что: это ошибка драйверов сетевых плат, исправить никак, если всё работает, то и не обращайте внимания. Ну да бог ты с ней, я бы и не обращал внимания, но дело в том, что она появляется каждые 2-4 минуты! Всё записывается в лог, на диск. в результате диски в простое вообще не выключаются! вертятся без отдыха.
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Ср Апр 29, 2015 01:35 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 01:35 Заголовок сообщения:
790 писал(а):
дело в том, что она появляется каждые 2-4 минуты!

Так отключить показ ошибок и всё.
Можно ещё для системы полный доступ к файлу C:WindowsSystem32winevtLogsSystem.evtx запретить (если ошибка вообще оттуда, лучше сперва найти в этой папке получатель).

790 писал(а):
в результате диски в простое вообще не выключаются! вертятся без отдыха.

Ну, тут причины разные могут быть, начиная с настройки ЖД для активного плана электропитания. Как вариант, в настройках сетевой платы пункты пробуждения можно отключить. Хотя почему сетевая должна трогать все диски, если какие-то приложения того не требуют, конечно?
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Ср Апр 29, 2015 02:19 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 02:19 Заголовок сообщения:
ЖС – журнал событий Windows

Дело не показе ошибок Журналом событий, а в том, что они записываются в файл ..System.evtx или ..Application.evtx . Я запретил системе всякий доступ к этим файлам, но в результате служба Журнала событий вообще не запустилась после перезагрузки и отказывалась запуститься вручную, пока я не вернул доступ к файлам. Соответственно, не запустились и все остальные зависимые службы.

Настройки электропитания в порядке: отключать через 10 минут простоя. Сетевухи диск не трогают. Просто лог-файл System.evtx , естественно, расположен на HDD и чтоб в него записать, например, “ошибку” нужно дёрнуть этот самый HDD

Ошибку выдаёт: “Не найдено описание для события с кодом ( 31004 ) в источнике ( ipnathlp ). Либо вызывающий данное событие компонент не установлен на этот локальный компьютер, либо установка повреждена.”

От ошибки не избавиться, поэтому вопрос: как прекратить её запись в ..System.evtx . а лучше и всего остального, ибо нафиг не нужно.

(дискИ – потому что RAID-0)
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Ср Апр 29, 2015 03:17 Заголовок сообщения:

–>

(Отдельно) Добавлено: Ср Апр 29, 2015 03:17 Заголовок сообщения:
И всё же. Моё предложение отключить отчёт об ошибках в силе.

MIME-Version: 1.0
Content-Type: application/octet-stream; name=”Параметры отчетов о проблемах.lnk”
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=”Параметры отчетов о проблемах.lnk”
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Запускаем и метим нижний пункт.
В дополнение идём в gpedit.msc > Конфигурация пользователя > Административные шаблоны > Отчеты об ошибках Windows , открываем 3 корневых политики, проставляем Включить с нажатием кн. Применить , разумеется.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Чт Апр 30, 2015 01:30 Заголовок сообщения:

–>

(Отдельно) Добавлено: Чт Апр 30, 2015 01:30 Заголовок сообщения:
в gpedit давно уже всё выставлено как указано.

ярлычок, скрипт. извиняюсь за своё невежество, с такими вещами не работал, куда это вставлять, где включать – не знаю. и как потом вернуть обратно, если что-то не заработает.
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Cuda уехал text, он был ещё вчераа.

Вернуться к началуFlasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

–>

Flasher

Зарегистрирован: 06.11.2009
Сообщения: 13870
Откуда: Москва

Добавлено: Чт Апр 30, 2015 09:13 Заголовок сообщения:

–>

(Отдельно) Добавлено: Чт Апр 30, 2015 09:13 Заголовок сообщения:
790 писал(а):
в gpedit давно уже всё выставлено как указано.

И касаемо записи в Журнал стоит “Включить”?
Про ярлычок и скрипт уже можно забыть, коли всё выставлено.
Для тех, кто в отношении данных вопросов не хотел оставаться невеждой, уже давным давно эти вещи не являются секретом.

Да, ещё пору важных политик по журналу:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows

    > Установщик Windows > Ведение журнала событий
    > Служба журнала событий > Настройка > Включить ведение журнала

Отключение обоих политик саму службу не отключат.
И как насчёт службы Сборщик событий Windows – она отключалась?
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.

Вернуться к началу790

Зарегистрирован: 09.08.2008
Сообщения: 210

–>

790

Зарегистрирован: 09.08.2008
Сообщения: 210

Добавлено: Сб Май 02, 2015 20:44 Заголовок сообщения:

–>

(Отдельно) Добавлено: Сб Май 02, 2015 20:44 Заголовок сообщения:
Flasher писал(а):
790 писал(а):
в gpedit давно уже всё выставлено как указано.

И касаемо записи в Журнал стоит “Включить”?

Всё стоит во “Включена”

Flasher писал(а):
Конфигурация компьютера > Административные шаблоны > Компоненты Windows

    > Установщик Windows > Ведение журнала событий
    > Служба журнала событий > Настройка > Включить ведение журнала

Отключение обоих политик саму службу не отключат.

Здесь всё выключено.
Сборщик событий Windows – выключено.

Скрипты поизучаю немного позже. Большое спасибо.

Случайно нашёл причину “ошибки” – это виртуальная сетевая карта, когда её служба отключена. Значит нужно отключать и её тоже, когда она не нужна.

Ещё вопрос: как сохранить настройки gpedit, чтобы применить их разом после переустановки винды? Не настройки вида редактора, а сами ключи.
_________________
Win7 64, TC 8.52a-32, 9.21a-64

Журнал событий в Windows 7/10 – где находится и как открыть?

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Что полезного можно вытащить из логов рабочей станции на базе ОС Windows

Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.

Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.

Журнал событий безопасности (Security Log)

Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.

Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.

Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.

Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.

Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.

Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.

Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.

Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.

Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:

  • Logon;
  • Logoff;
  • Account Lockout;
  • Other Logon/Logoff Events.

Account Management

  • User Account Management;
  • Security Group Management.

Policy Change

  • Audit Policy Change;
  • Authentication Policy Change;
  • Authorization Policy Change.

Системный монитор (Sysmon)

Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.

Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?

Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.

Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.

Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.

Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.

А теперь то, чего в политиках Security Log нет, но есть в Sysmon:

Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.

Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.

Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.

События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\.”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.

Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.

Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.

Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.

Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).

Журналы Power Shell

Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.

Windows PowerShell log

Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.

Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)

Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.

Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.

Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.

Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.

Читайте также:  Как восстановить удаленные ярлыки
Ссылка на основную публикацию
Adblock
detector