Event logging что это

Журналы событий Windows

Event logging что это

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений.

Когда возникают подобные типы событий, система Windows создает записи в журналах событий.

В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами.Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей – событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий – управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году.

Начиная с этой версии в любой Windows присутствуют 3 основных журнала – журнал Приложения, журнал Система и журнал Безопасность.

В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками.Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое служба “Журнал событий Windows”?

Служба (сервис) “Журнал событий Windows” – это специальная служба (сервис) для управления событиями и журналами событий.

Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п.

По умолчанию, после установки системы Windows служба “Журнал событий Windows” включена и запускается автоматически. Не стоит останавливать или выключать эту службу.Остановка службы “Журнал событий Windows” может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows.Служба (сервис) “Журнал событий Windows” позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы.

Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате.

Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой “Журнал событий Windows” и их невозможно непосредственно открыть на живой, работающей системе.

Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру.

По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге “C:\Windows\System32\winevt\Logs\”

Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги: 

Запустите приложение Просмотр событий.

Нажмите “Открыть сохраненный журнал” в панели “Действия”, расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку “Открыть” и его содержимое отобразиться в области просмотра событий в приложении. 

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем “Просмотр событий”.Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой.Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения.

Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуацияхвозникающих при работе SQL-сервера, таких как “недостаточно памяти”, “сбой при резервном копировании базы данных” и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений.

Приложения идентифицируются как разные “источники” в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников.

Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами.Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий.Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows.

Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником.

Журнал событий Система – важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д.

Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен.

Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.

Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события.

Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

  • Версия: 4.9.2
  • Выпущена: 2-May-2020
  • ОС: Vista, 7, 8, 10, 2003, 2008, 2012, 2016, 2020

Источник: https://eventlogxp.com/rus/essentials/windowseventlog.html

Журналирование Windows EventLog и система оповещения для администраторов

Event logging что это

Некоторое количество времени(года три) назад, в попытке найти способ экспорта Windows EventLog, была найдена возможность в удобном виде осуществлять аудит различных событий происходящих на сервере.

Microsoft своими «добрыми» технологиями сделала Windows практически несовместимым со штатными системами журналирования событий(syslog), но оставила небольшую лазейку которую можно использовать.

Лазейка представляет собой комбинацию SNMP trap и программы экспорта системных событий evntwin. Для работы связки нужен настроенный snmptrapd, а также активированный сервис SNMP на windows сервере (добавляется через «добавление/удаление компонентов»).

Первым делом нужно настроить сервер на который будут сбрасываться сообщения из Eventlog. После того как сервис настроен, запускаем программу evntwin.exe

technet.microsoft.com/en-us/library/cc759390%28WS.10%29.aspx

Как она выглядит видно на следующем скриншоте.
Принцип использования evntwin прост. Вы выбираете категорию и код события которые Вас интересуют и добавляете их в список. При наступлении события сообщение одновременно будет сохранено в EventLog, а также будет «трапнуто» на сервер мониторинга. На сервере мониторинга в snmptrapd.conf нужно добавить строку обработчика.

  1. authCommunity log,execute public
  2. format1 Trap from %B
  3. format2 Trap from %B
  4. traphandle default /usr/local/etc/trapd.pl

Сам обработчик написан мной на perl, код можно взять по ссылке trapd.pl(Не рекомендуется копипастить подсвеченный код из поста, лучше взять по ссылке). Он разбирает входящие trap сообщения и формирует письмо администраторам.

#!/usr/bin/perl
 
use vars qw /$hostname $source $oid @data $trap $error/;
 
my @indata = ();
$trap->{hostname} = shift(@indata);
$trap->{source} = shift(@indata);
$trap->{uptime} = shift(@indata);
(undef,$trap->{uptime}) = split (/ /,$trap->{uptime},2);
$trap->{oid} = shift(@indata);
open OUT,”>>/var/log/snmptrapd.log”;
chomp($trap->{hostname});
chomp($trap->{source});
chomp($trap->{uptime});
chomp($trap->{oid});
print OUT “Hostname: $trap->{hostname}”;
print OUT “Source: $trap->{source}”;
print OUT “Uptime: $trap->{uptime}”;
$trap->{oid} =~ s/(.*)\.(\d+)$/$2/g;
print OUT “OID: $trap->{oid}”;
my $str = join(“”,@indata);
$str =~ s/\t+|\r+|\”//g;
$str =~ s/+//g;
my @data = split (/SNMPv2\-SMI\:\:enterprises\.311\.1\.13\.1\.9999\.\d+\.0\s/,$str);
undef $error;
my $part = $data[1];
my @str = split(//,$part);
$trap->{subject} = $str[0];
$trap->{subject} =~ s/\:$//;
$error = “Hostname: $trap->{hostname}”;
$error .= “Source: $trap->{source}\”;
foreach my $line (@str)
{
  if($line =~ /(.*)\:\-/)
  {
    next;
  }
  else
  {
    push(@arrout,$line);
  }
}
$error .= join (“”,@arrout);
print OUT @data,””;
&mail_send;
 
close OUT;
exit(0);
 
sub mail_send
{
#  my @arr = shift;
use Net::SMTP;
$smtp = Net::SMTP->new('localhost');
$smtp->mail('security@nagios.mydomain.ru');
$smtp->to('account_admin@mydomain.ru');
$smtp->data();
$smtp->datasend(“To: account_admin\@mydomain.ru”);
$smtp->datasend(“Subject: $trap->{subject}”);
$smtp->datasend(“”);
$smtp->datasend($error);
$smtp->dataend();
$smtp->quit;
}
 
В итоге получаем вот такие красивые письмаHostname: bdc.mydoman.ru Source: UDP: [192.168.0.3]:1081 Change Password Attempt: Target Account Name:pupkin_v Target Domain:MYDOM Target Account ID:%{S-1-5-21-1191404879-1933194844-817656539-2675} Caller User Name:pupkin_v Caller Domain:MYDOM Caller Logon ID:(0x0,0x39B1BD)
Hostname: sadc.mydomain.ru Source: UDP: [192.168.0.4]:1074 User Account Locked Out: Target Account Name:ivanov_v Target Account ID:%{S-1-5-21-1191404879-1933194844-817656539-5229} Caller Machine Name:MX Caller User Name:SADC$ Caller Domain:MYDOM Caller Logon ID:(0x0,0x3E7)
Hostname: sadc.mydomain.ru Source: UDP: [192.168.0.4]:1072 Logon Failure: Reason:Unknown user name or bad password User Name:Popov_V Domain:MYDOM Logon Type:3 Logon Process:Advapi Authentication Package:Negotiate Workstation Name:SADC Caller User Name:SADC$ Caller Domain:MYDOM Caller Logon ID:(0x0,0x3E7) Caller Process ID:580 Source Network Address:192.168.0.20 Source Port:36018 Так как мы подписаны только на интересующие нас сообщения, мы не видим остального системного мусора из EventLog. Очень удобна данная система при вирусных эпидемиях типа Kido, когда сразу нельзя понять откуда пошло всё размножаться или при брутфорсе системных паролей. Потому что чётко виден Logon Failure и имя машины с которой была неудачная попытка. Спокойной Вам работы.

PS: готовый конфиг с представленными на скриншоте категориями лежит тут

(C) Aborche 2009

  • Windows Events
  • Syslog
  • SNMP
  • Traps

Хабы:

  • Информационная безопасность

Источник: https://habr.com/ru/post/65652/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.