- Как посмотреть журнал аудита windows
- Журнал событий в Windows: как его открыть и найти информацию об ошибке
- Работа с журналом событий (для начинающих)
- Аудит системных событий Audit system events
- Настройка этого параметра аудита Configure this audit setting
- Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
- Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
- Элемент «Пользователь» и его атрибуты User element and attributes
- Элемент «Журнал» и его атрибуты Log element and attributes
- Примеры Examples
- Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
Как посмотреть журнал аудита windows
Как уже упоминалось ранее, Windows XP Professional регистрирует в журналах происходящие события, которые отслеживаются политикой аудита. Пользуясь информацией журналов событий, можно получить сведения о неполадках аппаратного и программного обеспечения, а также наблюдать за событиями безопасности Windows. Управлять и просматривать содержимое журналов событий можно с помощью утилиты Просмотр событий (Event Viewer).
Чтобы открыть окно Просмотр событий, нажмите кнопку Пуск, выберите команду Панель управления, дважды щелкните значок Администрирование, затем дважды щелкните значок Просмотр событий.
Утилита просмотра событий позволяет просматривать три журнала:
- Журнал приложений. Регистрирует сообщения об ошибках, предупреждения или информацию, которые возникают при работе различных приложений.
- Журнал безопасности. Содержит записи об успешных или неудачных попытках выполнения операций, обозначенных политикой аудита.
- Системный журнал. Регистрирует сообщения об ошибках, предупреждения и данные, выдаваемые операционной системой Windows XP Professional.
Дополнительные журналы могут быть добавлены при установке дополнительных служб.
Просмотр журналов аудита.
Чтобы просмотреть содержимое журнала, нужно в левой части окна Просмотр событий, в дереве консоли, установить указатель мышки на один из журналов.
В правой части окна отобразится список событий с кратким описанием каждого события. В левом столбце указан тип сообщения, далее дата и время регистрации. Кроме того указан источник, от которого поступило сообщение, категория события, его идентификационный номер, и другие данные.
Чтобы посмотреть более полную информацию о любом событии, щелкните правой кнопкой мышки по строке с названием события и из контекстного меню выберите Свойства. Также можно воспользоваться меню, выбрав в разделе Действия пункт Свойства.
Кнопки с изображением стрелок позволяют перемещаться по записям открытого журнала и не закрывая окна свойств события, просматривать другие записи журнала.
Windows XP регистрирует события, происходящие на данном локальном компьютере. Журнал событий можно просматривать с любого компьютера локальной сети, при наличии прав администратора на компьютере, где расположен журнал.
Что бы просмотреть журнал другого компьютера, откройте консоль MMC и выберите просмотр событий удаленного компьютера.
Управление журналами аудита.
Windows XP Professional позволяет изменять различные параметры журналов, принятые по умолчанию. Параметры каждого журнала можно настраивать в отдельности. Для изменения параметров журнала, в левой части окна Просмотр событий, Щелкните правой кнопкой мышки по названию журнала и в контекстном меню выберите Свойства (можно также воспользоваться разделом Действие строчного меню, выбрав пункт Свойства).
Вкладка Общие содержит информацию о журнале: название журнала, место хранения, размер, дату создания, дату последнего изменения. В разделе Размер журнала можно изменить максимальный размер журнала, который может изменяться от 64 Кбайт до 4 Гбайт (по умолчанию 512 Кбайт).
С помощью переключателя можно определить действие, которое будет выполняться по достижении максимального размера журнала.
| Действие | Описание |
| Затирать старые события по необходимости | При переполнении журнала самые старые (по дате регистрации) события автоматически удаляются, освобождая место для новых событий. |
| Затирать события старее X дней | Автоматически удаляется информация, поступившая более X дней назад, где X — число дней. По умолчанию X =7. |
| Не затирать события | При заполнении журнала, Windows XP Professional прекращает регистрацию новых событий и выдает на экран предупреждение о заполнении журнала. Журнал нужно очистить вручную или перевести в другой режим. |
При использовании сетевого подключения к журналу можно установить флажок Подключение по медленной линии, если чтение журнала с другого компьютера происходит слишком медленно.
На вкладке Фильтр можно установить параметры вывода информации на экран.
Например, чтобы просмотреть только сообщения об ошибках, не выводя на экран остальные сообщения, установите флажок Ошибки, и отключите все остальные. Также можно вывести сообщения, поступившие только от определенного приложения или службы. Можно просматривать сообщения за определенный промежуток времени.
Чтобы иметь возможность просматривать содержимое журналов за длительный промежуток времени, рекомендуется периодически архивировать текущие журналы. Утилита Просмотр событий позволяет производить архивацию журналов, очистку и просмотр архивных журналов. Для этого выберите нужный журнал и выполните одно из действий меню Действия:
- Открыть файл журнала. Загрузить для просмотра архивный журнал.
- Сохранить файл журнала как. Сохранить текущий журнал в файл (архив).
- Создать вид журнала. Сделать в текущем окне копию журнала.
- Стереть все события. Очистить текущий журнал.
Журнал событий в Windows: как его открыть и найти информацию об ошибке
Доброго дня!
Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.
Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.
В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).
Работа с журналом событий (для начинающих)
Как его открыть
Этот вариант универсальный и работает во всех современных версиях ОС Windows.
- нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
- ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;
eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.
- сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;
Система и безопасность
далее необходимо перейти в раздел «Администрирование» ;
после кликнуть мышкой по ярлыку «Просмотр событий» .
Просмотр событий — Администрирование
Актуально для пользователей Windows 10.
1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).
Windows 10 — события
2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.
Win+X — вызов меню
Журналы Windows
Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.
В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:
- «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
- «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
- «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).
Как найти и просмотреть ошибки (в т.ч. критические)
Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.
И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .
Система — фильтр текущего журнала / Кликабельно
После указать дату, уровень события (например, ошибки), и нажать OK.
В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .
Представлены все ошибки по дате и времени их возникновения / Кликабельно
Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.
Можно ли отключить журналы событий
Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)
Для отключения журналов событий нужно:
- открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;
Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;
Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.
Аудит системных событий Audit system events
Область применения Applies to
Определяет, следует ли проводить аудит, когда пользователь перезапускает или выключает компьютер, или когда происходит событие, которое влияет либо на безопасность системы, либо на журнал безопасности. Determines whether to audit when a user restarts or shuts down the computer or when an event occurs that affects either the system security or the security log.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: Default:
- Успех на контроллерах домена. Success on domain controllers.
- Аудит на серверах-членах не проводится. No auditing on member servers.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
Область применения: Applies to:
- Windows 10 версии 1607 и выше Windows 10, version 1607 and later
- Windows 10 Mobile (версия 1607 и выше) Windows 10 Mobile, version 1607 and later
Windows Information Protection (WIP) создает события аудита в следующих случаях: Windows Information Protection (WIP) creates audit events in the following situations:
Когда сотрудник изменяет значение параметра «Владение файлом» с Рабочий на Личный. If an employee changes the File ownership for a file from Work to Personal.
Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу If data is marked as Work, but shared to a personal app or webpage. (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу). For example, through copying and pasting, dragging and dropping, sharing a contact, uploading to a personal webpage, or if the user grants a personal app provides temporary access to a work file.
Когда приложение имеет пользовательские события аудита. If an app has custom audit events.
Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Collect the WIP audit logs from your employee’s devices by following the guidance provided by the Reporting configuration service provider (CSP) documentation. Этот раздел содержит сведения о фактических событиях аудита. This topic provides info about the actual audit events.
Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML. The Data element in the response includes the requested audit logs in an XML-encoded format.
Элемент «Пользователь» и его атрибуты User element and attributes
В данной таблице содержатся все доступные атрибуты для элемента Пользователь. This table includes all available attributes for the User element.
| Атрибут Attribute | Тип значения Value type | Описание Description |
|---|---|---|
| UserID UserID | Строка String | Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите. The security identifier (SID) of the user corresponding to this audit report. |
| EnterpriseID EnterpriseID | Строка String | Идентификатор предприятия, соответствующий данному отчету об аудите. The enterprise ID corresponding to this audit report. |
Элемент «Журнал» и его атрибуты Log element and attributes
В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. This table includes all available attributes/elements for the Log element. Ответ может содержать ноль (0) или несколько элементов Журнал. The response can contain zero (0) or more Log elements.
| Атрибут/элемент Attribute/Element | Тип значения Value type | Описание Description |
|---|---|---|
| ProviderType ProviderType | Строка String | Всегда EDPAudit. This is always EDPAudit. |
| LogType LogType | Строка String | Включает: Includes:
|
| TimeStamp TimeStamp | Целое число Int | Использует структуру FILETIME для обозначения времени события. Uses the FILETIME structure to represent the time that the event happened. |
| Политика Policy | Строка String | Способ передачи рабочих данных в личное расположение: How the work data was shared to the personal location:
|
| Обоснование Justification | Строка String | Не реализовано. Not implemented. Это значение всегда будет пустым или NULL. This will always be either blank or NULL. Примечание Note |
| Объект Object | Строка String | Описание рабочих данных, к которым был осуществлен личный доступ. A description of the shared work data. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу. For example, if an employee opens a work file by using a personal app, this would be the file path. |
| DataInfo DataInfo | Строка String | Любая дополнительная информация о том, каким образом был изменен рабочий файл: Any additional info about how the work file changed:
|
| Действие Action | Целое число Int | Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая: Provides info about what happened when the work data was shared to personal, including:
|
| FilePath FilePath | Строка String | Путь к файлу, указанному в событии аудита The file path to the file specified in the audit event. (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте). For example, the location of a file that’s been decrypted by an employee or uploaded to a personal website. |
| SourceApplicationName SourceApplicationName | Строка String | Исходное приложение или веб-сайт. The source app or website. Для исходного приложения это удостоверение AppLocker. For the source app, this is the AppLocker identity. Для исходного веб-сайта это имя узла. For the source website, this is the hostname. |
| SourceName SourceName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания источника рабочих данных. It’s intended to describe the source of the work data. |
| DestinationEnterpriseID DestinationEnterpriseID | Строка String | Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. The enterprise ID value for the app or website where the employee is sharing the data. NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. NULL, Personal, or blank means there’s no enterprise ID because the work data was shared to a personal location. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений. Because we don’t currently support multiple enrollments, you’ll always see one of these values. |
| DestinationApplicationName DestinationApplicationName | Строка String | Целевое приложение или веб-сайт. The destination app or website. Для целевого приложения это удостоверение AppLocker. For the destination app, this is the AppLocker identity. Для целевого веб-сайта это имя узла. For the destination website, this is the hostname. |
| DestinationName DestinationName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания назначения передачи рабочих данных. It’s intended to describe the destination of the work data. |
| Приложение Application | Строка String | Удостоверение AppLocker приложения, в котором произошло событие аудита. The AppLocker identity for the app where the audit event happened. |
Примеры Examples
Вот несколько примеров ответов от поставщика службы конфигурации отчетов. Here are a few examples of responses from the Reporting CSP.
Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
1 1 0 SyncHdr 200 2 1 2 Replace 200 3 1 4 Get 200 4 1 4 ./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs
