Lidtracker.ru

Лид Трэкер
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Журнал событий

Журнал событий

Журнал событий (англ.  Event Log ) — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.

Содержание

События [ править | править код ]

Записи журнала событий хранятся в ключе реестра

Данный ключ содержит подключи, называемые файлами журнала. По умолчанию имеются:

  • файл журнала приложений — для событий приложений и служб;
  • файл журнала безопасности — для событий системы аудита;
  • файл системного журнала — для событий драйверов устройств.

Имеется возможность создавать дополнительные журналы. Для каждого источника событий в журнале создаётся отдельный подключ. События от каждого источника могут включаться в определяемые отдельно для каждого источника категории. События должны принадлежать к одному из пяти предопределённых типов.

ТипОписание
ИнформацияСобытия указывают редкие и важные успешные операции.
ПредупреждениеСобытия указывают проблемы, которые не требуют немедленного вмешательства, но могут привести к ошибкам в будущем. Примером такого рода событий может служить исчерпание ресурсов.
ОшибкаСобытия указывают существенные проблемы, обычно приводящие к потере функциональности или данных. Примером может служить невозможность запуска службы при загрузке.
Успешный аудитСобытия безопасности, которые происходят при успешном обращении к аудируемым ресурсам. Примером может служить успешный вход в систему.
Не успешный аудитСобытия безопасности, которые происходят при неуспешном обращении к аудируемым ресурсам. Примером может служить попытка открыть файл, не имея соответствующих прав доступа.

Запись о событии включает в себя: идентификатор события, тип события, категорию события, массив строк и дополнительные, специфичные для события, двоичные данные. Каждый источник событий должен зарегистрировать свой файл сообщений, в котором хранятся строки описания идентификаторов сообщений, категорий и параметров. Строка описания может содержать места для вставки строк из массива, указанного при записи события, например:

Дополнительные данные никак не интерпретируются программой просмотра событий и отображаются в шестнадцатеричном и текстовом формате.

Программный интерфейс [ править | править код ]

Основные функции работы с событиями:

  • OpenEventLog — открытие журнала на указанном компьютере для административных операций;
  • ReadEventLog — чтение части журнала в буфер;
  • GetOldestEventLogRecord — получить номер самой старой записи;
  • GetNumberOfEventLogRecords — получить количество записей в указанном журнале;
  • NotifyChangeEventLog — получать уведомления при записи в указанный журнал;
  • BackupEventLog — запись журнала в архив;
  • ClearEventLog — очистка журнала с возможностью записи в архив;
  • OpenBackupEventLog — открытие архивной копии журнала;
  • CloseEventLog — закрытие журнала;
  • RegisterEventSource — открытие журнала для записи событий от указанного источника;
  • ReportEvent — запись события в журнал;
  • DeregisterEventSource — закрытие журнала, открытого для записи.

Уязвимости и способы защиты [ править | править код ]

Администраторы могут осмотреть и очищать журнал, разделить права на чтение и очистку невозможно. Кроме того, администратор может использовать специальную утилиту Winzapper для удаления записей о конкретных событиях из журнала. По этой причине, в случае если учетная запись администратора была взломана, история событий, содержащихся в журнале событий, становится недостоверной. Противостоять этому можно путём создания удаленного сервера журнала, доступ к которому будет осуществляться лишь посредством консоли.

Как только журнал достигает максимально допустимого размера, он может либо перезаписывать старые события, либо остановить запись. Это делает его восприимчивым к атакам, в которых нарушитель пытается переполнить журнал путём создания большого числа новых событий. Частично против этого может помочь увеличение максимального размера журнала. Таким образом, для переполнения журнала потребуется инициировать большее количество событий. Можно дать команду журналу не перезаписывать старые события, но это может стать причиной сбоя.

Ещё один способ атаковать журнал событий — зарегистрироваться под учетной записью администратора и изменить политику аудита, а именно — остановить запись в журнал несанкционированной активности. В зависимости от настроек политики аудита, её изменение может быть записано в журнале. Запись об этом событии можно очистить с помощью Winzapper. С этого момента активность не будет фиксироваться в журнале событий.

Конечно, доступ к журналу нужен не для всех атак. Но зная о том, каким образом работает журнал событий, можно принять меры предосторожности во избежание обнаружения. Например, пользователь, желающий войти в систему под учетной записью сослуживца по корпоративной сети, может ждать до тех пор, пока не сможет незаметно воспользоваться компьютером. Далее он использует аппаратные средства для подбора пароля и регистрируется в системе. Затем имя учетной записи пользователя передается в службу терминалов с Wi-Fi Hotspot, IP-адрес которого невозможно будет отследить и выйти через него на взломщика.

После того как журнал очищается через окно просмотра событий, сразу создается одна запись в свежеочищенный журнал, отмечая время очистки и администратора-исполнителя. Эта информация может стать отправной точкой в расследовании подозрительных действий.

Читать еще:  Как отключить обновление Windows 10 — пять лучших способов

Кроме журнала событий Windows, администраторы также могут проверить журнал безопасности Брандмауэра Windows.

Зачем нужен Журнал событий Windows 10

Вы знаете, что ОС Windows оснащена функцией, которая регистрирует все что происходит за ПК. Записывает данные в Журнал событий, даже если пользователь ничего не делал. В нем отображаются ошибки и предупреждения. Рассмотрим подробно как отрыть посмотреть и очистить Журнал событий Windows 10.

Что это такое

Журнал событий Виндовс (Windows) 10 — функция, позволяющая просматривать все действия, происходящие в ОС. Записываются сообщения, ошибки работы драйверов, приложений и программ в лог, который называется Журналом событий.

Где используется

Просмотр сообщений помогает найти слабые проблемы в защите устройства. Это полезно для серверов. Основное предназначение — сбор информации для устранения неисправностей.

Журнал событий Windows 10 где находится

Это файлы расширением «EVTX». Находится по адресу:
Содержание файлов — текстовая информация. Только открыть их текстовым редактором не выйдет. Они содержат бинарный формат. Для просмотра используется утилита «eventvwr».

Как открыть

Для запуска нажмите «Win+R», пропишите «control».
Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».
Откроется окно утилиты. Слева расположены журналы:

  • приложений,
  • служб,
  • подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.
Работа происходит с разделом «Журналы», в который входят такие категории:

  1. Система. Содержит действия, которые созданы драйверами и модулями ОС,
  2. Установка,
  3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов,
  4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений,
  5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».
Отметьте пункты как на скриншоте:
Утилита отфильтрует записи.
Просмотрите сообщение:

Как работать

Пока ПК работает без сбоев Журнал событий в Windows 10 не нужен. Используется при появлении проблем с ПК: перезагрузка, Синий экран. Журнал в (Windows) 10 информирует о причинах сбоев.
Выберите ошибку. Посмотрите информацию о нее. Например: «Активация для приложения COM-сервера с CLSID ».
Скопируйте ее, посмотрите информацию в интернет. В этом примере ошибка говорит о необходимости обновления.

Как очистить

Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

  1. Выборочное удаление,
  2. Удалить используя Командную строку,
  3. Использование стороннего софта.

Рассмотрим их подробнее.

Выборочная очистка

Откройте утилиту, выполните действия как на скриншоте:

Очищаем Журнал событий Windows 10 через cmd (командную строку)

Нажмите «Win+X», далее:
Пропишите команду:

Приложение CCleaner

Откройте программу. В разделе «Очистка» отметьте пункт «Файлы». Нажмите кнопки «Анализ», потом «Очистка».
Подробнее о работе приложения смотрите в статье: «Очистка ПК».

Журнал событий Windows 10 отключить

Нажмите «Win+R», пропишите команду «services.msc».
Найдите «Журнал». Далее:
Изменения активируются после перезагрузки.

Вывод

Журнал событий работает в фоновом режиме и нагружает CPU. Рекомендую отключить его. Вреда для ОС от это действия не будет.

Как запустить диспетчер задач на Windows 10

С помощью просмотра событий в Windows можно ознакомится с историей (журналом) системных сообщений и процессов, которые генерируются программами — ошибок, информационных сообщений и предупреждений. На нормально работающем компьютере в данной службе будут показаны сообщения про все ошибки.

Журнал предназначен для регистрации всех процессов, выполняемых на компьютере. B историю сохраняются сообщения, предупреждения и ошибки, которые возникают при работе приложений, драйверов. Если время от времени просматривать журнал, можно выявить изъяны в защите, что актуально для серверов.

Просмотр событий Windows помогает следить за состоянием ПК, дает возможность выяснить причины, из-за которых произошли ошибки. Когда компьютер работает без видимых проблем, то, ошибки, которые будут отображаться, не являются столь важными. Наиболее часто там отображаются ошибки про сбои конкретных приложений. Они могли произойти давно даже при однократном включении.

Предупреждения о системных сбоях являются важными для администратора, а не для обычного пользователя. Они являются полезными при решении проблем с настройками сервера.

Как включить просмотр событий

557

Для этого понадобится нажать сочетание кнопок «Win + R». Откроется окошко «Выполнить», в строку поиска ввести значение «eventvwr.msc». Затем нажать клавишу «Enter».

Журнал событий windows 10 где находится

После нажатия правой кнопкой мыши на кнопку меню Пуск появится контекстное меню. Понадобится нажать по пункту «Панель управления». В открывшемся окошке выбрать раздел «Администрирование».
snimok
Затем выбрать соответствующий пункт. Процессы разделены по разным категориям. Именно журнал приложений показывает все сообщения от установленных программ. Журнал Windows показывает системные процессы операционной системы.
4
С левой стороны окна находиться расширенное меню. Чтобы ознакомиться со всеми ошибками, которые существуют на компьютере, необходимо нажать на маленький треугольник напротив строки «Журналы Windows». Затем выбрать пункт «Система».
1
В верхнем окне указаны все ошибки. Красными точками обозначены более значимые проблемы, желтыми треугольниками – предупреждения. Первопричины возникновения неисправностей указаны в нижнем окне.
2

Читать еще:  Как запустить командную строку в Windows (Виндовс) 10

Как открыть просмотр событий

Существует еще один самый простой и короткий путь доступа к журналу событий. Для этого потребуется щелкнуть ПКМ по значку меню «Пуск». Также можно воспользоваться нажатием на клавиатуре сочетание клавиш «Win + X». В контекстном меню избрать пункт под названием «Просмотр событий».

Как пользоваться просмотром событий

Данная утилита Windows может пригодится в случае возникновения различных проблем с ПК. Например, когда каким-то образом случится появление синего экрана смерти. Просматривая журнал, можно найти причину появления данных событий.

Ошибка может показать драйвер какого оборудования спровоцировал нарушение выполнения последующих команд. Понадобится найти ошибку, время возникновения которой совпадает с перезагрузкой компьютера, зависанием ПК или появлением синего экрана. Данная ошибка будет обозначена как критическая.

3

Если на компьютере располагается сервер, есть возможность включить запись событий, которые будут фиксировать выключения, перезагрузки в любое время. Пользователю придется указывать точную причину запуска такого процесса. Позже будет возможность ознакомится со всеми выключениями и перезагрузками, а также узнать введенную причину события.

Просмотр журнала можно использовать вместе с утилитой «Планировщик задач». Для этого понадобится щелкнуть правой кнопкой мыши по любому событию. Выбрать пункт «Привязать задачу к событию». В любое время, когда будет происходить выполнение конкретного события, операционная система начнет выполнять указанную задачу.

Как почистит журнал событий

Чтобы очистить журнал потребуется кликнуть ПКМ на меню Пуск. В открывшемся контекстном меню выбрать пункт «командная строка (администратор)». В строке поиска прописать значение «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″». Подождав некоторое время, журналы становятся совершенно пустыми.

2

Очистку можно произвести с помощью утилиты под названием PowerShell. Для этого понадобится запустить утилиту от имени администратора. Затем ввести значение «wevtutil el | Foreach-Object ». Потом нажать «Enter».

Скорее всего, в конце процесса появится ошибка, но это нормально и ничего страшного собой не представляет. При этом журнал событий будет опустошен.

Как очистить все журналы событий в Windows 10

Система Журнал и Журнал приложений — два важных журнала, которые вы, возможно, захотите время от времени очищать. Есть несколько способов сделать это.

  1. Щелкните правой кнопкой мыши кнопку «Пуск» или нажмите Win + X , чтобы открыть меню Win + X (меню опытного пользователя) в Windows 10.
  2. Выберите пункт Управление компьютером из контекстного меню.
  3. Перейдите в Управление компьютером — Системные инструменты — Средство просмотра событий — Журналы Windows:
  4. Щелкните правой кнопкой мыши журнал, который вы хотите очистить, и выберите команду Очистить журнал. .. из контекстного меню:
  1. Откройте командную строку с повышенными привилегиями.
  2. Введите или вставьте следующую команду:

Все журналы Windows будут очищены. Вместо этого вы можете очистить отдельные журналы. Сделайте это следующим образом.

    1. Откройте командную строку с повышенными привилегиями.
    2. Введите или вставьте следующую команду:

    Это создаст список доступных журналов.

    Обратите внимание на имя журнала, который необходимо очистить.

    Windows 10: как отключить шкалу активности пользователя


    Далее:

    Другой способ

    Нажмите (Win+R), пропишите «eventvwr.msc».


    Откроется окно утилиты. Слева расположены журналы:

    • приложений;
    • служб;
    • подписки.

    Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.


    Работа происходит с разделом «Журналы», в который входят такие категории:

    1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
    2. Установка;
    3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
    4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
    5. Перенаправление.

    Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».


    Отметьте пункты как на скриншоте:


    Утилита отфильтрует записи.


    Просмотрите сообщение:

    как привязать задачу к событию Windows Как отключить Timeline в реестре Как отключить Timeline в Windows 10 через групповые политики

    Журнал действий в Windows 10 записывает вашу активность даже при его отключении

    Эта новость написана посетителем сайта, и за неё начислено вознаграждение.

    «Слежка», «телеметрия», «зонды», сколько споров на просторах интернета произошло по этому поводу за последние 4 года, не сосчитать. Шквал критики от возмущенных пользователей и экспертов периодически достигает ушей Microsoft и иногда она идет на уступки, например, добавляя кнопочку для просмотра сведений собранных у пользователя.

    Но сейчас эмоции по этому вопросу уже не так накалены, пользователи привыкли да и выбора особо нет ̶п̶о̶к̶а̶ ̶е̶щ̶е̶ ̶е̶с̶т̶ь̶, в лицензионном соглашении обладатель лучшей из Windows дает разрешение на сбор практически любой информации со своего ПК.


    В новых же версиях Windows 10 — 1803 и 1809, телеметрия вкупе с журналом действий вышли на новый уровень, позволив создать «Временную шкалу». Практически история браузера, но уже для всего компьютера. И с временной шкалой набирает обороты новый скандал, связанный с приватностью пользователей.


    В журнале действий есть аж целых 3 опции, позволяющие отключать запись действий пользователя, но пользователи Reddit и портала Ghacks обратили внимание, что данные опции ничего не отключают. Запись действий продолжает вестись и отображаться в «Информационной панели конфиденциальности» на сайте Microsoft.


    Первым этот вопиющий факт заметил пользователь с Reddit. Он вошел в систему с помощью локальной учетной записи, а аккаунт Microsoft использовал только в магазине приложений. И отключив все три опции в приложении «Параметры», он увидел, что запись действий на информационной панели конфиденциальности на сайте account.microsoft.com не прекратилась.

    Пользователи с портала Ghacks воспроизвели ситуацию и опасения подтвердились. Запись действий не выключается. История активности сохранялась в информационной панели конфиденциальности.


    Они начали копать глубже и залезли в групповые политики. Отключив опцию «Включает веб-канал активности» и опцию «Разрешить загрузку действий пользователя» они получили ожидаемый результат — запись действий не прекратилась даже после настроек групповых политик.

    Нужно признать, что утечка данных активности пользователя, когда соответствующие функции отключены, является очень серьезной проблемой. Даже на простейшем, бытовом уровне, когда к устройству имеет доступ не только его основной владелец, беспокоится теперь стоит не только об истории браузера и файлах «не для чужих глаз», но и о постоянно включенной временной шкале.

    Так что, если ваши родители технически подкованы, а вы играете на лучшей из Windows в Minecraft, вместо того что бы делать уроки, не забывайте, что бдительная временная шкала не отключается и все помнит.

    Начислено вознаграждение
    Этот материал написан посетителем сайта, и за него начислено вознаграждение.

    Как работать

    Пока ПК работает без сбоев Журнал событий в Windows 10 не нужен. Используется при появлении проблем с ПК: перезагрузка, Синий экран. Журнал в (Windows) 10 информирует о причинах сбоев. Выберите ошибку. Посмотрите информацию о нее. Например: «Активация для приложения COM-сервера с CLSID ».


    Скопируйте ее, посмотрите информацию в интернет. В этом примере ошибка говорит о необходимости обновления.

    Как создать ярлык для быстрого запуска журнала

    Если приходится часто обращаться к системному журналу событий, то лучше всего создать ярлык на рабочем столе. Чтобы выполнить эту задачу:

    1. необходимо перейти на «Панель управления» Windows (меню «Пуск», поиск F3 или окно «Выполнить»);
    2. на панели задач открыть вкладку «Администрирование»;
    3. в открывшемся окне одним кликом мыши о;
    4. нажатием правой кнопки мышки запустить контекстное меню;
    5. выбрать вариант «Отправить»;
    6. в появившемся дополнительном меню выбрать команду – создать ярлык на Рабочий стол.

    Брандмауэр Windows 7: как открыть, настроить, отключить

    После совершения этих операций на рабочем столе появится ярлык для быстрого запуска соответствующего приложения. Двойным нажатием ЛКМ на созданном ярлыке его можно быстро открыть.

    На заметку! Чтобы решить вопрос, как быстро открыть журнал на Виндовс 10, нужно создать постоянный доступ к нему на десктопе


    Создание ярлыка на Рабочем столе

    Как очистить

    Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

    1. Выборочное удаление;
    2. Удалить используя Командную строку;
    3. Использование стороннего софта.

    Рассмотрим их подробнее.

    Выборочная очистка

    Откройте утилиту, выполните действия как на скриншоте:

    Очищаем Журнал событий Windows 10 через cmd (командную строку)

    Нажмите «Win+X», далее: Пропишите команду:

    Приложение CCleaner

    Откройте программу. В разделе «Очистка» о. Нажмите кнопки «Анализ», потом «Очистка».


    Подробнее о работе приложения смотрите в статье: «Очистка ПК».

    Отключение телеметрии

    Телеметрия позволяет Майкрософт наблюдать за нагрузкой на систему вашего компьютера и установленные программы для отправки и анализа на сервера компании.

    Для отключения телеметрии откройте командную строку. Для этого найдите в меню пуск папку «служебные» — «командная строка». Кликните на ней правой кнопкой мыши — «дополнительно» — «запустить от имени Администратора».

    В командной строке наберите следующие команды:

    1. sc delete DiagTrack и нажмите Enter на клавиатуре.
    2. sc delete dmwappushservice и нажмите Enter.
    3. echo «» > C:ProgramDataMicrosoftDiagnosisETLLogsAutoLoggerAutoLogger-Diagtrack-Listener.etl
    4. reg add «HKLMSOFTWAREPoliciesMicrosoftWindowsDataCollection» /v AllowTelemetry /t REG_DWORD /d 0 /f

    Данные команды сначала стирают все данные накопленные телеметрией, потом отключают эту функцию и заносят в реестр запрет на дальнейший сбор данных. Теперь телеметрия будет полностью отключена на вашем компьютере.

    Окно «Выполнить»

    Нужно запустить окно «Выполнить». Как это сделать? Например, можно навести курсор мыши на кнопку «Пуск», нажать ПКМ и выбрать в меню пункт «Выполнить».

    Есть и другой путь — нажать Win+R на клавиатуре.

    Когда окно будет запущено, укажите команду eventvwr.msc, после чего кликните по кнопке ОК.

    Журнал событий был запущен.

    Что значат записи лога разных типов

    На Windows 10 сохраняется значительное количество логов, которые могут быть полезны для специалистов IT, программистов и технической поддержки. Это позволяет им устранять неполадки и сбои в работе программ.


    Отображение записей в журнале ошибок

    голоса
    Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector