Для различных событий и ошибок системы и приложений Windows ведёт журналы событий, которые можно просмотреть и получить дополнительную информацию, которая может быть полезной при решении проблем с компьютером.
В этой инструкции для начинающих — способы открыть просмотр событий Windows 11/10 и дополнительная информация на тему, которая может пригодиться. На близкую тему: Как отключить журнал событий в Windows.
Контекстное меню кнопки Пуск и поиск
Самый быстрый способ перейти к просмотру журналов событий в Windows 11 и 10 — нажать правой кнопкой мыши по кнопке «Пуск» или нажать клавиши Win+X на клавиатуре и выбрать пункт «Просмотр событий» в открывшемся меню.
Ещё один простой и в большинстве случаев работающий способ открыть какой-либо системный инструмент, расположение которого вам неизвестно — использовать поиск в панели задач.
Начните вводить «Просмотр событий» в поиске, после чего запустите найденный результат:
Почему не «Журнал событий» или «Журнал ошибок», которые пользователи обычно ищут? Причина в том, что сами журналы — это файлы на диске в папках
C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles
Пользователи, задавая вопрос о том, где журнал событий в Windows, обычно имеют в виду именно системный инструмент «Просмотр событий» для удобного просмотра соответствующих журналов.
Команда «Выполнить»
Самый быстрый и часто используемый метод запуска просмотра журналов событий Windows — использование команды «Выполнить»:
- Нажмите клавиши Win+R на клавиатуре, либо нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить».
- Введите eventvwr.msc (или просто eventvwr) и нажмите Enter.
- Откроется «Просмотр событий».
Эту же команду можно использовать для создания ярлыка или для открытия журнала событий в командной строке. Возможно, вам пригодится информация о других полезных командах «Выполнить».
Обычно описанных выше вариантов бывает достаточно для открытия просмотра журналов событий и ошибок в Windows, но есть и другие подходы:
Помимо просмотра журнала событий, в Windows присутствует ещё один полезный инструмент — Монитор стабильности системы, позволяющий наглядно получить информацию о работе вашей системы по дням на основании данных из журнала событий.
Все способы:
- Просмотр событий в Виндовс 10
- Способ 1: «Панель управления»
- Способ 2: Окно «Выполнить»
- Способ 3: Поиск по системе
- Создание ярлыка для быстрого запуска
- Заключение
- Вопросы и ответы: 8
«Просмотр событий» — один из множества стандартных инструментов Виндовс, предоставляющий возможность просмотра всех событий, происходящих в среде операционной системы. В числе таковых всевозможные неполадки, ошибки, сбои и сообщения, связанные как непосредственно с ОС и ее компонентами, так и сторонними приложениями. О том, как в десятой версии Windows открыть журнал событий с целью его дальнейшего использования для изучения и устранения возможных проблем, пойдет речь в нашей сегодняшней статье.
Просмотр событий в Виндовс 10
Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.
Способ 1: «Панель управления»
Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.
Читайте также: Как открыть «Панель управления» в Виндовс 10
- Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.
- Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».
- Отыщите в открывшейся директории приложение с наименованием «Просмотр событий» и запустите его двойным нажатием ЛКМ.
Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.
Способ 2: Окно «Выполнить»
И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.
- Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».
- Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».
- Журнал событий будет открыт незамедлительно.
Способ 3: Поиск по системе
Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:
- Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».
- Начните вводить в поисковую строку запрос «Просмотр событий» и, когда увидите в перечне результатов соответствующее приложение, кликните по нему ЛКМ для запуска.
- Это откроет журнал событий Windows.
Читайте также: Как сделать панель задач в Виндовс 10 прозрачной
Создание ярлыка для быстрого запуска
Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.
- Повторите шаги 1-2, описанные в «Способе 1» данной статьи.
- Отыскав в списке стандартных приложений «Просмотр событий», кликните по нему правой кнопкой мышки (ПКМ). В контекстном меню выберите поочередно пункты «Отправить» — «Рабочий стол (создать ярлык)».
- Сразу же после выполнения этих простых действий на рабочем столе Windows 10 появится ярлык под названием «Просмотр событий», который и можно использовать для открытия соответствующего раздела операционной системы.
Читайте также: Как создать ярлык «Мой компьютер» на рабочем столе Виндовс 10
Заключение
Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.
Наша группа в TelegramПолезные советы и помощь
Журналы сбоев и ошибок Windows являются важным инструментом для диагностики и решения проблем в операционной системе. Они хранят информацию о различных событиях, включая ошибки, предупреждения и критические сбои, которые происходят на компьютере. Просмотр журналов позволяет пользователям получить более глубокое понимание того, что происходит с их системой и помогает выявить причины возникших проблем.
В этой статье мы рассмотрим, как можно просматривать журналы сбоев и ошибок в Windows, а также какие инструменты можно использовать для этой цели. Мы рассмотрим основные способы доступа к журналам событий, а также дадим обзор инструментов, таких как Средство просмотра событий и Монитор надежности, которые помогут вам анализировать и интерпретировать информацию из журналов.
Основные аспекты
Журналы событий Windows содержат данные о неисправностях, возникших в оборудовании и программном обеспечении, а также об успешных операциях.
Чтобы просмотреть журналы событий разной важности и по разным категориям, можно воспользоваться инструментом просмотра событий (eventvwr.msc) или монитором надежности (Панель управления > Система и безопасность > Безопасность и обслуживание > Обслуживание > Просмотр истории надежности).
Операционная система Windows аккуратно регистрирует и сохраняет информацию о своей деятельности, особенно если произошли какие-либо сбои. Эти данные собираются из различных приложений Windows и компонентов операционной системы.
Эти ошибки сохраняются в каталоге «C:\WINDOWS\system32\config\». Однако при попытке доступа к этому каталогу вы обнаружите файлы, которые невозможно открыть в обычных приложениях, что мешает просмотру журналов ошибок. Для этой цели в операционной системе Windows предусмотрены два полезных инструмента:
- Средство просмотра событий Windows
- Монитор надежности
Эти инструменты позволяют просматривать и анализировать различные ошибки и предупреждения, возникающие на вашем компьютере. Поэтому, если ваши приложения продолжают выдавать ошибки или вы сталкиваетесь с «синим экраном смерти» (BSoD) и не понимаете причину, вы можете обратиться к этим инструментам, чтобы выяснить причину возникновения ошибки и способы ее устранения.
Этот гайд описывает, как получить доступ к средству просмотра событий и монитору надежности на компьютере с операционной системой Windows, а также как использовать их для анализа различных типов ошибок и их причин.
Что такое журналы событий Windows?
Журналы событий Windows — это встроенный инструмент операционной системы, который записывает информацию о различных событиях, происходящих на компьютере. Эти события могут включать ошибки, предупреждения, информационные сообщения и другие сведения о работе системы.
Просмотр журналов событий Windows может помочь пользователям выявить и исправить различные проблемы, такие как сбои программного обеспечения, аномальное поведение системы, неполадки оборудования и другие ошибки, которые могут возникнуть в процессе работы операционной системы.
Журналы событий Windows содержат разнообразную информацию о различных событиях, происходящих на компьютере. Вот основные типы информации, которые могут содержаться в журналах событий:
-
Время и дата: Записи в журналах событий содержат информацию о точном времени и дате каждого события.
-
Идентификатор события: Каждое событие имеет уникальный идентификатор, который помогает идентифицировать его тип и характер.
-
Уровень критичности: События могут быть отмечены разными уровнями критичности, такими как ошибка, предупреждение или информационное сообщение. Это помогает пользователю определить важность события.
-
Описание события: Каждое событие сопровождается описанием, которое содержит подробную информацию о произошедшем событии, его причинах и последствиях.
-
Информация о приложениях и службах: Журналы событий могут содержать информацию о приложениях, службах и компонентах операционной системы, которые вызвали событие или на которые оно повлияло.
-
Дополнительные данные: В некоторых случаях журналы событий могут содержать дополнительные данные, такие как имена файлов, коды ошибок, сообщения от системных компонентов и другие сведения, которые помогают понять причину возникновения события.
Типы и категории журналов событий Windows
Журналы событий Windows разделены на различные типы и категории, чтобы облегчить организацию и поиск информации о событиях на компьютере.
Вот основные типы журналов событий:
-
Журналы приложений (Application): Этот тип журналов содержит информацию о событиях, связанных с приложениями, установленными на компьютере. Сюда входят ошибки, предупреждения и информационные сообщения, связанные с работой различных программ.
-
Журналы системы (System): В этом типе журналов содержится информация о событиях, связанных с работой операционной системы Windows. Сюда входят сообщения о запуске и выключении компьютера, драйверах устройств, системных службах и т. д.
-
Журналы безопасности (Security): Эти журналы содержат информацию о безопасности компьютера, включая попытки входа в систему, аудит доступа к файлам и папкам, а также другие события, связанные с безопасностью.
-
Журналы установки (Setup): В этом типе журналов содержится информация о процессе установки и удаления программного обеспечения на компьютере.
-
Журналы аппаратного обеспечения (Hardware Events): Эти журналы содержат информацию о событиях, связанных с аппаратным обеспечением компьютера, таких как ошибка чтения диска, отказ устройства и т. д.
-
Журналы служб (Forwarded Events): В этом типе журналов содержится информация о событиях, перенаправленных из других компьютеров в сети.
Вот пять основных категорий журналов событий в Windows:
- Информация (Information): Указывает на нормальное функционирование службы или приложения. Например, когда служба Windows успешно запускается, в журнале событий будет зафиксировано информационное сообщение.
-
Предупреждение (Warning): Эти события указывают на потенциальные проблемы или ненормальные условия, которые могут потенциально привести к ошибкам или нежелательным последствиям.
-
Ошибка (Error): Эти события указывают на фактические ошибки или неудачные операции, которые произошли в системе, и могут потребовать вмешательства для их исправления.
-
Аудит успеха (Success Audit): Эти события отображают успешные операции или события, связанные с безопасностью, такие как успешные попытки входа в систему или успешное завершение операций аудита.
-
Аудит сбоев (Failure Audit): Эти события указывают на неудачные операции или события, связанные с безопасностью, такие как неудачные попытки входа в систему или другие сбои в безопасности.
Как просмотреть журналы событий в Windows
С помощью средства просмотра событий
Чтобы просмотреть журналы событий в Windows с помощью средства просмотра событий, следуйте этим шагам:
-
Откройте Средство просмотра событий: Нажмите на клавишу Windows, введите «Средство просмотра событий» в строке поиска и выберите соответствующий результат.
-
Навигация к журналам событий: В левой панели Средства просмотра событий выберите пункт «Журналы Windows». Здесь вы увидите список доступных журналов событий.
-
Выбор журнала событий: Выберите нужный журнал событий, например, «Система», «Приложение» или «Безопасность».
-
Просмотр журнала событий: После выбора журнала событий вы увидите список событий в правой части окна. Прокручивайте этот список для просмотра всех событий.
-
Фильтрация событий (опционально): Для удобства вы можете фильтровать события по различным критериям, таким как уровень важности, источник или ключевые слова.
-
Просмотр подробностей: Чтобы узнать подробности о конкретном событии, щелкните на нем. В нижней части окна появится информация о выбранном событии.
-
Закрытие Средства просмотра событий: После завершения просмотра журналов событий вы можете закрыть окно Средства просмотра событий.
С помощью монитора надежности
Чтобы просмотреть журналы событий в Windows с помощью монитора надежности, выполните следующие шаги:
-
Откройте Панель управления: Нажмите на клавишу Windows, введите «Панель управления» в строке поиска и выберите соответствующий результат.
-
Выберите категорию «Система и безопасность»: В Панели управления найдите и выберите категорию «Система и безопасность».
-
Откройте монитор надежности: В разделе «Система и безопасность» найдите и выберите опцию «Администрирование». Затем щелкните по ссылке «Техническое обслуживание».
-
Навигация к журналам событий: В техническом обслуживании выберите пункт «Просмотреть историю надежности».
-
Выбор журнала событий: В списке журналов событий выберите нужный журнал, например, «Система», «Приложение» или «Безопасность».
-
Просмотр журнала событий: После выбора журнала событий вы увидите список событий в правой части окна монитора надежности.
-
Фильтрация событий (опционально): При необходимости вы можете использовать фильтры для отображения определенных типов событий или определенного временного периода.
-
Просмотр подробностей: Чтобы узнать подробности о конкретном событии, выберите его в списке. Подробная информация об этом событии отобразится в нижней части окна.
-
Закрытие монитора надежности: После завершения просмотра журналов событий вы можете закрыть окно монитора надежности.
Заключительные слова
Понимание содержания журналов событий и ошибок является не менее важным, чем доступ к ним. Простое просматривание журналов событий не имеет смысла, если вы не способны понять их содержание и значение.
В этом подробном руководстве вы узнаете, как просматривать и интерпретировать журналы системных событий, а также как искать ошибки разной степени серьезности в различных категориях. Кроме того, вы сможете отыскать события за определенные периоды времени, если не знаете точно, когда произошла ошибка.
Доброго дня!
Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀
Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢
В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).
Итак…
*
Работа с журналом событий (для начинающих)
❶
Как его открыть
Вариант 1
Этот вариант универсальный и работает во всех современных версиях ОС Windows.
- нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
- ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);
eventvwr — команда для вызова журнала событий
- после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…
Просмотр событий
Вариант 2
- сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;
Система и безопасность
- далее необходимо перейти в раздел «Администрирование»;
Администрирование
- после кликнуть мышкой по ярлыку «Просмотр событий».
Просмотр событий — Администрирование
Вариант 3
Актуально для пользователей Windows 10/11.
1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇
Windows 10 — события
2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.
Win+X — вызов меню
❷
Журналы Windows
Журналы Windows
Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.
В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:
- «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
- «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
- «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).
❸
Как найти и просмотреть ошибки (в т.ч. критические)
Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.
И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».
Система — фильтр текущего журнала / Кликабельно
После указать дату, уровень события (например, ошибки), и нажать OK.
Критические ошибки
В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.
Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).
Представлены все ошибки по дате и времени их возникновения / Кликабельно
Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.
❹
Можно ли отключить журналы событий
Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)
*
Для отключения журналов событий нужно:
- открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);
Открываем службы — services.msc (универсальный способ)
- далее нужно найти службу «Журнал событий Windows» и открыть ее;
Службы — журналы событий
- после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.
Отключена — остановить
*
На этом пока всё, удачи!
✌
Первая публикация: 23.03.2019
Корректировка: 14.08.2021
Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров22K
Журналирование событий информационной безопасности является важным элементом системы защиты информации. Нам необходимо знать какое событие когда произошло, когда какой пользователь пытался зайти в систему, с какого узла, удачно или нет, и так далее. Конечно, некоторые события ИБ сохраняются в журналах ОС при использовании настроек по умолчанию, например, не/удачные входы в систему, изменения прав доступа и т. д. Однако, настроек по умолчанию и локального хранения логов недостаточно для эффективного мониторинга и реагирования на события ИБ.
В этой статье мы посмотрим, как можно организовать эффективный аудит узлов под управлением ОС Windows, а в следующей статье настроим централизованный сбор событий с нескольких узлов и попробуем с помощью Powershell автоматизировать обработку собранных событий.
Зачем нужно централизованное хранение
Локальное хранение журналов событий имеет целый ряд недостатков, не позволяющих использовать этот механизм для мониторинга событий ИБ. С точки зрения безопасности локальные журналы хранят все события только на данной машине. Пока злоумышленник пытается получить доступ и поднять привилегии на данной машине, некоторые события обличающие его действия, возможно будут сохраняться в логах, но как только он получит необходимые права, он сможет почистить журнал событий, затем заполнить его фиктивными логами, в результате чего мы не увидим событий, связанных с компрометацией узла.
Да, при очистке лога будет создано событие ‘1102 Журнал аудита был очищен’, но от этого события тоже можно избавиться, просто заполнив лог большим количеством фиктивных событий.
Так как, обычно EventLog пишется по принципу циклической записи, более старые события удаляются, и их заменяют более новые.
Ну а создать поддельные события можно с помощью того же PowerShell, используя командлет Write-EventLog.
Таким образом, локальное хранение событий это не самый лучший вариант работы с логами с точки зрения безопасности. Ну а кроме того, нам не слишком удобно анализировать журналы событий, если они хранятся только локально. Тогда необходимо подключаться к журналам событий каждой локальной машины и работать с ними локально.
Гораздо удобнее пересылать логи на отдельный сервер, где их можно централизованно хранить и анализировать. В таком случае, в процессе выполнения атаки мы можем получать события от атакуемого узла, которые точно не будут потеряны. Кроме того, даже если злоумышленник сможет очистить лог на локальной машине, на удаленном сервере все события сохраняться. Ну и если события от нескольких узлов сохраняются централизованно на одном сервере, то с ними гораздо удобнее работать, что тоже не маловажно при анализе логов.
Эффективный аудит
Мы разобрались с необходимостью централизованного мониторинга событий. Однако, еще необходимо разобраться с тем, какие именно события должны присутствовать в наших логах. С одной стороны в логах должны присутствовать важные события с точки зрения ИБ, а с другой, в нем не должно быть слишком много неинтересных событий, например постоянных обращений к каким-либо файлам или сообщений о запуске каких-либо процессов, не представляющих никакого интереса для ИБ. Таким образом, чтоб нам не потонуть в большом объеме ненужных событий и не потерять что-то действительно важное, нам необходимо грамотно настроить политики аудита.
Для настройки откроем Политики аудита (Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Политика аудита (Computer Configuration / Windows Settings / Security Settings / Local Policies / Audit Policy).
Также нам потребуются расширенные политики аудита, которые можно открыть здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита (Computer Configuration / Windows Settings / Security Settings / Advanced Audit Policy Configuration).
Отличием политики расширенного аудита является наличие подкатегорий и теперь мы можем управлять аудитом на уровне не только категорий, но и подкатегорий. Если сравнить Политики аудита и Расширенные политики аудита, то можно заметить, что разделы в обычных политиках в свою очередь разделены на подразделы в расширенных политиках, что позволяет нам настраивать более подробные категории аудита. Так, для группы Вход учётной записи (Account Logon) мы можем настроить четыре проверки -Аудит проверки учётных данных, Аудит службы проверки подлинности Kerberos, Аудит операций с билетами службы Kerberos, Аудит других событий входа учётных записей.
Для каждого типа аудита мы можем настроить аудит событий успеха или отказа. С событиями успеха нужно быть аккуратными. Так, для того же аудита входов в систему мы рискуем получить большое количество событий успешного входа, которые по факту не будут представлять никакой ценности. Также, не стоит включать в аудите доступа к объектам, аудит событий «платформы фильтрации Windows», потому что он генерирует крайне большое количество событий (всё сетевое взаимодействие хоста). В результате мы снова рискуем получить большое количество ненужных событий. В результате срабатывания настроек политик аудита, в журнале создаются события, каждое из которых имеет собственный код.
Для эффективного аудита нам необходим сбор следующих типов событий: 4624 (Успешный вход в систему), 4647 (Выход из системы), 4625 (Неудачный вход в систему), 4778/4779 (Соединение/разъединение по RDP), 4800/4801 (Блокировка/Разблокировка рабочей станции) и некоторые другие.
При анализе событий нам важно понимать, как именно был осуществлен вход в систему или с каким кодом мы получили событие о неудачном входе в систему.
Посмотрим типы входа в систему:
2 – интерактивный
3 – сетевой (через сетевой диск)
4 – запуск по расписанию
5 – запуск сервиса
7 – разблокировка экрана
8 – сетевой (Basic Authentication в IIS)
10 – подключение по RDP
11 – вход по закешированным учетным данным
В приведенном ниже скриншоте у нас представлен вход в систему при запуске сервиса
И посмотрим, как мы можем узнать причину неудачного входа в систему
0xC0000064 — такого пользователя не существует
0xC000006A — неверный пароль
0xC0000234 — пользователь заблокирован
0xC0000072 — пользователь отключен
0xC000006F — пользователь попытался войти в систему вне установленных для него ограничений по дням недели или времени суток
0xC0000070 — ограничение рабочей станции или нарушение изолированной политики аутентификации (найдите идентификатор события 4820 на контроллере домена)
0xC0000193 — срок действия учетной записи истек
0xC0000071 — истек пароль
0xC0000133 — часы между DC и другим компьютером слишком сильно рассинхронизированы
0xC0000224 — пользователю необходимо сменить пароль при следующем входе в систему
0xc000015b Пользователю не был предоставлен запрошенный тип входа в систему (он же право входа в систему) на этом компьютере
Таким образом, по значениям данных кодов в соответствующих событиях мы можем понять, что стало причиной неудачного входа в систему или каким образом пользователь или сервис осуществили вход.
На картинке ниже представлен неудачный интерактивный вход в систему, причиной которого стало указание неверного пароля.
В следующей статье мы посмотрим, как средствами PowerShell можно извлекать различные значения из событий и делать обработку логов более “человеко-удобной.
Заключение
В этой статье мы рассмотрели виды аудита в современных версиях ОС Windows, поговорили о том, какие именно события должны собираться в системе и что означают некоторые поля в этих событиях. В следующей статье мы настроим централизованный сбор событий с нескольких источников и попробуем с помощью PowerShell настроить автоматический анализ собираемых событий.
Напоследок приглашаю вас на бесплатный вебинар, где мы узнаем, зачем нужны бэкапы и как их организовать путем сервисов в Windows.