1105 (S): автоматическое резервное копирование журнала событий 1105(S): Event log automatic backup

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Подкатегория: Другие события Subcategory: Other Events

Описание события: Event Description:

Это событие создает каждый раз, когда журнал безопасности Windows становится полным и создается новый файл журнала событий. This event generates every time Windows security log becomes full and new event log file was created.

Это событие создает, например, если достигнут максимальный размер файла журнала событий безопасности и метод хранения журнала событий: «Архивировать журнал при полномобъеме,не перезаписывать события». This event generates, for example, if the maximum size of Security Event Log file was reached and event log retention method is: “Archive the log when full, do not overwrite events”.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Описания полей: Field Descriptions:

Журнал [Type = UnicodeString]: имя архивного журнала (был создан новый файл журнала событий и архивирован предыдущий журнал событий). Log [Type = UnicodeString]: the name of the log that was archived (new event log file was created and previous event log was archived). Всегда «Безопасность» для журналов событий безопасности. Always “Security” for Security Event Logs.

Файл: [Type = FILETIME]: полный путь и имя файла архивного файла журнала. File: [Type = FILETIME]: full path and filename of archived log file.

Формат архивного имени файла журнала: «Archive-LOG_FILE_NAME-YYYY-MM-DD-hh-mm-ss-nnn.evtx». The format of archived log file name is: “Archive-LOG_FILE_NAME-YYYY-MM-DD-hh-mm-ss-nnn.evtx”. Где: Where:

LOG_FILE_NAME — имя архивного файла. LOG_FILE_NAME – the name of archived file.

Y — годы. Y – years.

M — месяцы. M – months.

h — часы. h – hours.

m — минуты. m – minutes.

s — секунд. s – seconds.

n — дробные секунды. n – fractional seconds.

Время в этом событии всегда находится в часовом поясе GMT+0/UTC+0. The time in this event is always in GMT+0/UTC+0 time zone.

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 1105 (S): автоматическое резервное копирование журнала событий. For 1105(S): Event log automatic backup.

• Обычно это информационное событие, и никаких действий не требуется. Typically it’s an informational event and no actions are needed. Но если базовые параметры не заданной для архива журнала при полном объеме,не переописывайте события, это событие будет признаком того, что некоторые параметры не заданной для базовых параметров или были изменены. But if your baseline settings are not set to Archive the log when full, do not overwrite events, then this event will be a sign that some settings are not set to baseline settings or were changed.

—>

Журнал событий в Windows 7/10 – где находится и как открыть?

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Сохранение журнала событий Save Event Log

Эта версия Orchestrator достигла конца поддержки, мы рекомендуем выполнить обновление до Orchestrator 2019. This version of Orchestrator has reached the end of support, we recommend you to upgrade to Orchestrator 2019.

Действие сохранить журнал событий используется для сохранения записей из журнала событий, чтобы их можно было использовать позже. The Save Event Log activity is used to save entries from an event log so that they can be used later. Действие сохранить журнал событий сохраняет записи журнала событий в текстовый файл с разделителями в указанном формате. The Save Event Log activity saves the event log entries to a delimited text file in a format that you specify. Действие позволяет выбирать, какие поля будут сохранены, и позволяет фильтровать по полям, разрешая сохранение определенных записей журнала событий. The activity allows you to choose which fields will be saved and allows you to filter against the fields to only allow particular event log entries to be saved. Это действие использует вспомогательную лицензию. This activity uses a satellite license.

Действие сохранить журнал событий можно использовать для создания журнала аудита проблем, возникающих в конкретном приложении, или определенных категорий записей в журнале событий. The Save Event Log activity can be used to create audit trails of problems that occur with a particular application or specific categories of event log entries. Эти сохраненные файлы впоследствии можно использовать для наблюдения за производительностью серверов и приложений в сети. These saved files can later be used to track the performance of servers and applications in your network.

Настройка действия «Сохранение журнала событий» Configuring the Save Event Log Activity

Перед настройкой действия «сохранить журнал событий» необходимо определить следующее. Before you configure the Save Event Log activity, you need to determine the following:

Журнал событий, из которого выполняется сохранение The event log that you are saving from

Компьютер, на котором он расположен The computer where it is located

Поля, которые необходимо включить The fields that you want to include

Формат файла The format of the file

Если требуется сохранять только определенные записи, а не весь журнал событий, необходимо знать, в каких полях будет выполняться фильтрация, а также какие значения фильтровать. If you require only specific entries to be saved and not the entire event log, you will need to know what fields to filter against as well as what values to filter.

Используйте следующие сведения для настройки действия «сохранить журнал событий». Use the following information to configure the Save Event Log activity.

Вкладка «Подробные сведения» Details Tab

Параметры Settings	Инструкции по настройке Configuration Instructions
Компьютер Computer	Введите компьютер, на котором находится журнал событий. Type the computer where the event log is located. Введите, localhost чтобы указать сервер Runbook, на котором выполняется обработка модуля Runbook. Type localhost to specify the runbook server where the runbook is being processed. Для поиска компьютера можно также использовать кнопку с многоточием (. ) . You can also use the ellipsis ( . ) button to browse for the computer.
Журнал событий Event log	Введите имя журнала событий Windows, в котором находятся записи, которые необходимо сохранить. Type the name of the Windows Event Log where the entries that you are saving are located. Для поиска имени журнала событий можно также использовать кнопку с многоточием (. ) . You can also use the ellipsis ( . ) button to browse for the event log name. Просмотр доступен, только если указан допустимый компьютер. Browsing is only available if you have specified a valid Computer.
Относится Include	Выберите все поля журнала событий, которые необходимо сохранить в файле. Select all the event Log fields that you want to save to the file. Вы можете выбрать идентификатор события, источник, категорию, Описание, тип, компьютер и дату и время. You have the option to select Event ID, Source, Category, Description, Type, Computer, and Date/time.

Вкладка «фильтры» Filters Tab

Параметры Settings	Инструкции по настройке Configuration Instructions
Идентификатор события Event ID	Выберите и введите идентификатор события записи журнала событий, которую необходимо сохранить. Select and type the specific event ID of the event log entry that you want to save.
Источник Source	Выберите и введите значение, которое должно совпадать с исходным полем записей журнала событий. Select and type the value that the Source field of the event log entries will need to match.
Категория Category	Выберите и введите значение, которое должно совпадать с полем категории в записях журнала событий. Select and type the value that the Category field of the event log entries will need to match.
Описание Description	Выберите и введите значение, которое должно совпадать с полем описания в записях журнала событий. Select and type the value that the Description field of the event log entries will need to match.
Тип Type	Выберите и укажите значение, которое должно совпадать с полем типа в записях журнала событий. Select and specify the value that the Type field of the event log entries will need to match.
Компьютер Computer	Выберите и укажите значение, которое должно совпадать с полем компьютера в записях журнала событий. Select and specify the value that the Computer field of the event log entries will need to match.
Дата с Date from	Выберите и укажите диапазон дат, в которые должны быть добавлены события. Select and specify the ranges of dates that the events will need to be from to be included.

Вкладка «выходные данные» Output Tab

Параметры Settings	Инструкции по настройке Configuration Instructions
Имя файла File name	Введите имя файла, в котором будут сохраняться записи журнала событий. Type the name of the file where the event log entries will be saved. Этот файл будет сохранен на компьютере, где находится журнал событий. This file will be saved on the computer where the event log resides.
Если файл существует If the file exists	Выберите действие, которое требуется выполнить, если файл с таким именем уже существует: Select the action that you want to take if a file with the same name already exists:

— Создать файл с уникальным именем: выберите, чтобы присоединить значение к имени файла, чтобы создать уникальное имя, которое не конфликтует с существующим именем. — Create a file with a unique name: Select to append a value to the filename to create a unique name that does not conflict with an existing name.
— Добавить: выберите, чтобы добавить записи, сохраняемые в файл. — Append: Select to append the entries that are being saved to the file.
— Перезаписать: выберите, чтобы перезаписать существующий файл создаваемым файлом. — Overwrite: Select to overwrite the existing file with the file that is being created.
— Ошибка: выберите, чтобы действие «сохранить журнал событий» завершилось ошибкой, если имя файла уже существует. — Fail: Select to cause the Save Event Log activity to fail if the filename already exists. Формат файлов File format Выберите формат, который будет использоваться для сохранения записей журнала событий в файле: Select the format that will be used to save the event log entries to the file:

— Разделители CSV: выберите, чтобы использовать формат CSV для записи каждой записи журнала. — CSV Delimited: Select to use the CSV format to write each log entry.
— Разделитель табуляции: выберите для разделения полей в каждой записи с помощью символа табуляции. — TAB Delimited: Select to separate fields in each entry using the TAB character.
— Настраиваемые разделители: выберите для разделения полей в каждой записи с помощью пользовательского символа, указанного в поле Разделитель . — Custom Delimited: Select to separate fields in each entry using a custom character that you specify in the Delimiter box. Разделитель Delimiter Введите разделитель, который будет использоваться для разделения полей каждой записи. Type the delimiter that you want to use to separate the fields of each entry. Создание заголовков столбцов Create column headings Выберите, чтобы сохранить сведения о заголовке столбца при сохранении набора записей в файле. Select to save the column header information when saving a set of entries to a file. Данные заголовка содержат метаданные, такие как имена полей. The header information contains meta data such as the field names.

Опубликованные данные Published Data

В следующей таблице перечислены опубликованные элементы данных. The following table lists the published data items.