Etllogs windows server 2016
Ниже приведён перечень требуемых, согласованных с ФСБ настроек, отключающих функцию обработки телеметрии в ОС Windows 10 / Windows Server 2016
Для блокирования сбора телеметрии на ОС Windows 10/Server 2016 при загрузке операционной системы до старта системных служб удаляются конфигурации службы диагностики (DiagTrack) и записи событий трассировки (AutoLogger-DiagTrack-Listener) при включенном усиленном контроле. Служба диагностики и сборщики данных удаляются из системы и более не могут быть запущены.
В документ ЖТЯИ.00087-01 91 02. Руководство администратора безопасности. Windows добавлено: «Для отключения функций телеметрии на ОС Windows 10/Server 2016 необходимо выполнить следующие действия:
1. Проверить наличие и статус сервиса DiagTrack (Панель управления -> Система и безопасность -> Администрирование -> Службы).
2. Если сервис запущен, то остановить его.
3. Удалить запись регистрации сервиса DiagTrack из реестра (Пуск -> выполнить -> regedit, раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Здесь необходимо найти и удалить папку DiagTrack).
4. Удалить подготовленные к отправке данные, которые сохраняются в четырех файлах с расширением *.rbs, хранящихся в директории %ProgramData%\Microsoft\Diagnosis. Имена файлов для production сборок ОС – event00.rbs, event01.rbs, event10.rbs и event11.rbs. Для insider сборок ОС имена могут отличаться, поэтому необходимо удалить все файлы с расширением *.rbs. При возникновении проблем с удалением данных файлов необходимо в свойствах на вкладке «Безопасность» разрешить полный доступ к файлу, а затем удалить.
5. Остановить автоматическую (AutoLogger) ETW сессию AutoLogger-DiagTrack-Listener, которую DiagTrack активирует в процессе своей остановки.
6. Удалить файл, в который автоматическая (AutoLogger) ETW сессия AutoLogger-DiagTrack-Listener сохраняла собранные данные.
Путь к файлу хранится в реестровой записи AutoLogger-DiagTrack-Listener в значении FileName. Конфигурации автоматических (AutoLogger) ETW сессий находятся в ключе реестра HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger. Конфигурация целевой сессии хранится в данном ключе под записью AutoLogger-DiagTrack-Listener.
В настоящее время данные сохраняются в файл %ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\AutoLogger-DiagTrack-Listener.etl.
7. Удалить запись регистрации конфигурации автоматической (AutoLogger) ETW сессии AutoLogger-DiagTrack-Listener из реестра
Данные действия необходимо выполнять после каждого кумулятивного обновления, поскольку данные обновления являются по сути полной переустановкой ОС и удаленные сервисы восстанавливаются.
Очистка места на системном диске
windows server 2016
нужно освободить место на диске системном
посмотрел что много весит, нашел такую папку:
ProgramData\Microsoft\Diagnosis\ETLLogs
Там логи чего-то. Вопрос — можно ли их удалить, не повлияет ли это на работу сервера?
Что еще посоветуете посмотреть для освобождения диска от ненужных и временных файлов?
Расширение места на системном диске
Здравствуйте! как расширить системный раздел? есть свободное не размеченное место, но нет на сис.
Захламляется место да системном диске ( Очень важно)
Всем привет! Только что столкнулся с проблемой. НА сервере Win2003 стоит SQL. На системном диске.
Экстренная очистка места на системном разделе
Данный скрипт предназначен для быстрого высвобождения места на диске C:\ для windows vista, 7, 8.
Мало места на системном диске
На «Цэ» установлена сама ОС, офис 2007, пяток браузеров, всякие архиваторы, плееры и прочее. Есть.
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.
Очистка диска: место на системном диске уменьшилась до критической точки
здравствуйте ув. форумчане! сегодня обнаружил что свободное место на системном диске уменьшилась.
Определить общее количество ОЗУ и свободного места на системном диске
Доброго времени суток. Нужно определить общее количество оперативной памяти и свободного места.
Распаковка/упаковка установленных программ для освобождения места на системном диске
Доброго, используются программы в установленном виде весят около 30 ГБ и более. Системный диск -.
Сбор данных о загрузочных событиях Windows Server 2016
В Windows Server 2016 есть не особенно известная функция «Сбор данных о настройках и загрузочных событиях». Она позволяет удаленно собирать информацию о событиях, произошедших в процессе загрузки системы. Такая возможность особенно полезна при поиске «плавающих» проблем во время загрузки ОС.
В статье я расскажу, как можно удобно собирать эти недостающие сведения.
Ниже приводятся типы событий, информацию о которых можно узнать с помощью функции «Сбор данных о настройках и загрузочных событиях»:
- Загрузка модулей ядра и драйверов.
- Перечисление устройств и инициализация их драйверов.
- Верификация и установка файловых систем.
- Запуск исполняемых файлов.
- Запуск и завершение обновлений системы.
После сбора всех необходимых данных о событиях на сервере-сборщике для их анализа можно использовать хорошо знакомые инструменты – Event Viewer, Wevutil или PowerShell.
Далее мы рассмотрим, как настроить сервер и удаленные узлы для сбора данных.
Поддерживаемые ОС
Роль сборщика может выполнять исключительно Windows Server 2016 – это может быть либо сервер с возможностями рабочего стола, либо Server Core.
Ниже приведена таблица с интернет-ресурса TechNet, в которой показаны поддерживаемые виртуализованные типы ОС для сборщиков и целевых компьютеров:
| Узел виртуализации | Виртуальная машина-сборщик | Целевая виртуальная машина |
| Windows 8.1 | да | да |
| Windows 10 | да | да |
| Windows Server 2016 | да | да |
| Windows Server 2012 R2 | да | нет |
На серверы, с которых вы хотите собирать данные, должна быть установлена или Windows Server 2016, или Windows 10. Кроме того, в качестве целевого узла может выступать компьютер с Nano Server. Также можно собирать данные из окон системы Windows Server 2016, даже если они работают как виртуальная машина на компьютерах с Windows Server 2012 R2.
Конфигурация узла сборщика
Для получения и отображения ETL-событий с целевых компьютеров необходимо настроить узел сборщика. Первое – необходимо подключить службу сбора событий, используя один из нижеуказанных методов.
При помощи DISM:
Также можно установить этот компонент с помощью Server Manager GUI:
Установка службы с помощью диспетчера сервера.
После установки службы сбора событий вы получите доступ к новой службе – Boot Event Collector, запущенной под учетной записью Network Service.
Свойства Boot Event Collector.
Существует также инструмент командной строки bevtcol.exe, который можно запустить с некоторыми полезными параметрами. Он поможет протестировать ваши настройки перед установкой полного сервиса.
Параметры bevtcol.exe.
Например, можно запустить bevtcol.exe – config NewConfig.xml – checkOnly только для проверки правильности файла конфигурации. И потом выйти без запуска самого процесса.
Затем вам нужно проверить, были ли созданы файлы конфигурации по умолчанию на узле сборщика – это поможет вам создать свой первый файл конфигурации компьютера-сборщика.
В папке C:\ProgramData\Microsoft\BootEventCollector\Config, вы увидите три XML файла конфигурации, созданные сразу после установки сервиса.
Файлы конфигурации XML.
Active.xm содержит аналогичную Empty.xml конфигурацию. Каждая новая конфигурация должна быть сохранена в этом файле:
- Empty.xml – содержит минимально необходимые элементы конфигурации, с установленными по умолчанию значениями;
- Example.xml – содержит полезные примеры конфигураций.
*XML-файл с пример*ом конфигурации.
Если взглянуть на структуру папки С:\ProgramData\Microsoft\BootEventCollector, можно увидеть, что разные папки созданы для разных целей:
- ETL – это каталог для хранения собранных ETL-файлов;
- Logs, как следует из названия, хранят log-файлы для службы сбора.
ETL and log file folders.
Теперь мы можем создать наш первый файл конфигурации. Создайте новый XML-файл в каталоге %SystemDrive%\ProgramData\Microsoft\BootEventCollector\Config и скопируйте содержимое конфигурации, указанной ниже, в .xml-файл.
В файле конфигурации есть несколько важных моментов.
Во-первых, Collector – в этом узле мы указали версию файла конфигурации и имя log-файла.
Во-вторых, collectorport – указывает номер порта для сбора входящих событий. Нам также необходимо настроить один и тот же номер порта на целевых компьютерах.
В третьих, forwarder – здесь мы указываем характеристики ETL-файлов. Эти характеристики могут быть следующими:
1. File определяет шаблон имени файла. <# 3>– это трехзначный индекс файла при обращении, такой как 001, 002 и т.д.
2. Size определяет максимальный размер ETL-файла.
3. Nfiles определяет количество созданных ETL-файлов в обращении. Каждый новый файл создается, как только размер предыдущего достигает ограничения, определенного параметром Size.
4. ToXML — опциональный параметр, определяющий полезную нагрузку, с которой ETW-события во время пересылки преобразуются в XML. None — это значение, установленное по умолчанию. Оно всегда пересылает события в двоичном формате по мере их получения. Если вы установите значение «ALL», полезная нагрузка будет постоянно преобразовываться в XML.
Этот параметр на самом деле является своего рода защитой, поскольку события ETW были разработаны для их интерпретации компьютерами, на которых они и были сгенерированы.
Но как только вы хотите переместить события на другой компьютер, может возникнуть какое-либо несоответствие. Преобразование в формат XML делает события доступными для более широкого спектра целевых узлов. Единственным недостатком является то, что преобразование в XML также нагружает узел-сборщик.
В четвертых, target – здесь можно указать настройки целевого узла. Например, IP-адрес, MAC-адрес или GUID, чтобы настроить компьютеры для приема подключений. Также можно указать anyAllowed, чтобы принимать все подключения.
Вы можете указать несколько целевых компьютеров, добавив дополнительные target-узлы:
- в описанном выше случае, указаны два целевых компьютера: один с IP-адресом и один с MAC-адресом;
- Key – это ключи шифрования, которые мы собираемся получить позже, при настройке целевых компьютеров;
- Computer value – это имя целевого компьютера, который должен быть занесен в ETW-записи, когда они преобразуются в XML.
После того, как вы закончите с файлом конфигурации, сохраните его и настройте целевой узел.
Настройка целевого компьютера
Чтобы настроить целевые компьютеры для отправки ETW-событий, необходимо активировать передачу событий. Вы можете активировать ее локально с помощью команды bcdedit или удаленно с помощью команды PowerShell Remote и Enable-SbecBcd.
В моей лаборатории у меня есть доступ к моим целевым компьютерам, поэтому я буду использовать bcdedit:
- HostIP – это имя компьютера-коллектора, которое мы конфигурировали ранее;
- Port – это номер порта, который мы указали в файле конфигурации;
- Key – это ключ шифрования, который нам нужно указать в файле конфигурации.
Активация передачи событий через команду bcdedit.
Я настроил ключи шифрования. Вы можете проверить конфигурацию с помощью следующей команды bcdedit:
Проверка конфигурации события BCD.
Теперь я могу вернуться к моему серверу и применить новый файл конфигурации, который я создал ранее, с указанными ключами. Set-SbecActiveConfig cmdlet нам в этом поможет:
Применение файла конфигурации на компьютере-сборщике.
Получение принятой конфигурации.
И наконец последний шаг – настройка целевых компьютеров для отправки ETW-событий.
На сервере выполните следующую команду:
Настройка целевого компьютера для отправки ETW-событий.
На сервере файл конфигурации active.xml обновился с моими настройками.
Обновленный файл active.xml.
Также был создан новый log-статус:
Обновленный log-файл.
Кроме того, создается новый ETL-файл, который уже может собирать информацию о настройках и загрузочных событиях с целевого компьютера (Server01). После перезапуска одного из ваших серверов, в нем появится информация:
Собранные ETL-файлы.
Теперь можно открыть собранные ETL-файлы в инструменте просмотра событий Windows:
События, собранные после первой перезагрузки целевого компьютера.
Не забудьте перезагрузить целевой сервер для применения настроек и получения первого набора событий.
