На компьютере с Windows XP запись событий ведется в следующих трех журналах: Журнал приложений файл «App. Event. Evt” - ": WINDOWSsystem 32config". (“application log”), В журнале приложений содержатся события, записанные программами. Например, программа работы с базами данных может записать в журнал приложений ошибку доступа к файлу. События для записи в журнал приложений определяются разработчиками программного обеспечения.
Журнал безопасности файл “Sec. Event. Evt” — ": WINDOWSsystem 32config". (“security log”), В журнал безопасности записываются такие события, как удачные и неудачные попытки входа в систему, а также события, связанные с использованием ресурсов (такие как создание, открытие или удаление файлов). Например, если включен аудит входа в систему, в журнал безопасности будет записываться событие при каждой попытке выполнить вход на этот компьютер. Чтобы включать и использовать запись событий в журнал безопасности, а также чтобы указывать события для записи, необходимо быть администратором компьютера или входить в группу администраторов.
Журнал системы файл “ Sys. Event. Evt ” — ": WINDOWSsystem 32config (“system log”) В журнале системы содержатся события, записанные системными компонентами Windows XP. Например, если происходит сбой загрузки драйвера при запуске системы, соответствующее событие записывается в журнал системы. События, записываемые системными компонентами
В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой.
Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %System. Root%System 32WinevtLogsApplication. Evtx.
Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %System. Root%System 32WinevtLogsSecurity. Evtx Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %System. Root%System 32WinevtLogsSetup. Evtx.
Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %System. Root%System 32WinevtLogsSystem. Evtx Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %System. Root%System 32WinevtLogsForwarded. Events. Evtx Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %System. Root%System 32WinevtLogsInternet. Explorer. Evtx
Windows Power. Shell – в этом журнале регистрируются события, связанные с использованием оболочки Power. Shell. По умолчанию размещается в %System. Root%System 32WinevtLogsWindows. Po wer. Shwll. Evtx События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %System. Root%System 32WinevtLogsHardware. Ev ent. Evtx
Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.
Интерпретация события Записи в журнале классифицируются по типам, каждая запись содержит сведения о заголовке и описание события. Заголовок события содержит следующие сведения о событии: Дата, когда событие произошло. Время, когда событие произошло. Пользователь Имя пользователя, который работал в системе, когда произошло событие. Компьютер Имя компьютера, на котором произошло событие. Код события
Номер события, определяющий его тип. Код события может быть использован службами технической поддержки для распознавания сбоя системы. Источник ошибки. Это может быть имя программы, системного компонента или отдельного компонента большой программы. Тип события. Существует пять типов событий: ошибка, предупреждение, сведения, аудит успехов и аудит отказов. Категория Классификация событий по источнику событий. Используется главным образом в журнале безопасности.
Типы событий Описания событий в журнале зависят от типов событий. Каждое событие журнала может принадлежать к одному из следующих типов. Сведения (Уведомление) Событие, которое обозначает успешное выполнение какойлибо задачи (приложения, драйвера или службы). Например, событие с типом «Сведения» будет записано при успешной загрузке сетевого драйвера. Предупреждение. Это событие может не быть важным, но может указывать на возможность возникновения неполадки в дальнейшем. Например, предупреждение будет записано в журнал, когда начнет заканчиваться свободное пространство на диске.
Ошибка Такое событие обозначает серьезную неполадку, например сбой важной задачи. Возникновение событий с типом «Ошибка» может сопровождаться потерей данных или сбоями в работе. Например, в журнал будет записана ошибка при сбое загрузки службы во время запуска системы. Аудит успехов (журнал безопасности) Событие, которое обозначает успешное завершение отслеживаемой операции безопасности. Например, событие аудита успеха записывается в журнал при входе пользователя в систему. Аудит отказов (журнал безопасности) Событие, которое обозначает, что отслеживаемая операция безопасности не была завершена успешно. Например, событие с типом «Аудит отказов» может быть записано в журнал, когда пользователю не удалось получить доступ к сетевому
Всю информацию о настройках журнала сервис берёт из реестра: HKEY_LOCAL_MACHINESYSTEMCurrent. Control. Set ServicesEventlog. Каждая ветка в этом ключе – это журнал. Изначально их всего три, но можно создавать свои журналы, и регистрировать свои приложения как источники событий для этих журналов.
Свойства событий Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server» ), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер Ether. Link II. Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий» . Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок. Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:
Уведомление - обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы. Предупреждение - обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания; Ошибка - обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие; Критическая ошибка - обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически; Аудит успехов – успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии; Аудит отказов – неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.
Журнал (Log) Пояснение Приложение (Application) Этот журнал содержит записи от приложений. Например, если мы зарегистрируем свой источник событий (т. е. приложение) и не укажем журнал, по умолчанию записи будут поступать сюда. Система (System) Этот журнал содержит записи, поступающие от системных служб. Но писать в него может любое приложение. Безопасность (Security) Этот журнал предназначен для аудита, например, событий входа пользователя в систему. Другой (Custom) Можно создать свой журнал. Не поддерживается в Windows NT.
Фильтрация событий в журнале Чтобы фильтровать события журнала, выполните следующие действия: Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий. В дереве консоли разверните узел Окно просмотра событий и выберите журнал, событие из которого требуется просмотреть. В меню Вид выберите команду Фильтр. Откройте вкладку Фильтр (если она еще не открыта). Задайте нужные параметры фильтра и нажмите кнопку OK. В панели сведений будут отображены только события, соответствующие условиям фильтра.
Наиболее полная и подробная информация о программных событиях для самых разнообразных продуктов компании Microsoft имеется в онлайновом центре сообщений о событиях и ошибках, в англоязычной интерпретации именуемом Events and Errors Message Center. http: //www. microsoft. com/technet/support/ee/ee_ advanced. aspx
Код ошибки: 1201 (0 x 04 B 1) Устройство в настоящее время не присоединено, однако сведения о нем в конфигурации присутствуют. Код ошибки: 1202 (0 x 04 B 2) Попытка записать сведения об устройстве, которые уже были записаны. Код ошибки: 1203 (0 x 04 B 3) Ни одна из систем доступа к сети не смогла обработать заданный сетевой путь. Код ошибки: 1204 (0 x 04 B 4) Имя системы доступа к сети задано неверно. Код ошибки: 1205 (0 x 04 B 5) Не удается открыть конфигурацию подключения к сети. Код ошибки: 1206 (0 x 04 B 6) Конфигурация подключения к сети повреждена. Код ошибки: 1219 (0 x 04 C 3) Обнаружен конфликт между указанными и существующими личными данными. Код ошибки: 1223 (0 x 04 C 7) Операция была отменена пользователем. Код ошибки: 1220 (0 x 04 C 4) Неудачная попытка открытия сеанса на сетевом сервере. На этом сервере уже открыто слишком много сеансов. Код ошибки: 1221 (0 x 04 C 5) Имя рабочей группы или домена уже используется другим компьютером в сети.
Для определения проведенных действий операционной системой семейства "Windows XP" производится просмотров журналов работы операционной системы содержащихся в файлах "Sys. Event. Evt" (является журналом событий системы, используемого реестром "Windows") и "App. Event. Evt" (является журналом событий приложений, используемого реестром "Windows") расположенных в директории ": WINDOWSsystem 32config". Просмотром данных журналов возможно определить: - временные рамки работы операционной системы; - временные рамки запуска ряда программных продуктов, запуск которых отображается в журнале работы операционной системы "Windows"; - временные рамки подключения - отключения сетевых ресурсов (сетевого адаптера) запуск которых отображается в журнале работы операционной системы "Windows", и ряд других параметров.
Ниже приведены некоторые коды отображающие работу с сетевыми ресурсами: - код Event ID - 4201 - сообщает о подключении сетевого адаптера: "Система обнаружила, что сетевой адаптер DEVICETCPIP_{B 1 CF 2 C 4 B-2704 -48 C 2 -B 52 B-3 CCD 7231 B 317} был подключен к сети и инициировала нормальную работу через этот сетевой адаптер"; - код Event ID - 1077 - сообщает о получении IP-адрес для сетевого адаптера: "Компьютер автоматически настроил IPадрес для сетевого адаптера"; - код Event ID - 4202 сообщает об отключению сетевого адаптера: "Система обнаружила, что сетевой адаптер DEVICETCPIP_{B 1 CF 2 C 4 B-2704 -48 C 2 -B 52 B-3 CCD 7231 B 317} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена"
Информацию о подключенных внешних устройствах хранится в реестре операционных систем, журналах событий и в файле "setupapi. log" расположенном в директории "Windows" для "Windows XP" и в файле "setupapi. dev" расположенном в директории Windowsinf для "Windows 7".
HKEY_LOCAL_MACHINESYSTEMControl. Set 001EnumUSB И HKEY_LOCAL_MACHINESYSTEMControl. Set 001EnumUSBS TOR В данных ветвях содержится информация о типе и виде подключенных устройств, а так же их серийный номер и уникальный номер (Globally Unique Identifier - GUID), который идентифицирует устройство для системы. Причем данные о серийном номере содержатся в имени ветви HKEY_LOCAL_MACHINESYSTEMControl. Set 001EnumUSB Vid_058 f&Pid_6387FKZ 9 XO 6 P где FKZ 9 XO 6 P серийный номер устройства.
Данные о подключенных устройствах отражаются в журнале событий, в частности в меню «приложение» и «система» . «Система» для win 7 код события 20001, 10000? 20003 “ процесс добавления службы WUDFRd» 2011 И в файле Windowsinfsetupapi. dev
Скачать презентацию На компьютере с Windows XP запись событий ведется
журналы.ppt