- Windows: Логи Выключений/Перезагрузок
- Коды Событий Выключения
- «Просмотр событий» — История Выключений
- Логи Выключений в PowerShell
- Журналы Windows
- Описание интерфейса программы
- Работа с журналами
- Понимание событий Application Control Understanding Application Control events
- Код события операционного журнала Microsoft Windows CodeIntegrity Microsoft Windows CodeIntegrity Operational log event IDs
- Microsoft Windows Applocker MSI и ИД событий журнала скриптов Microsoft Windows Applocker MSI and Script log event IDs
- Необязательные события диагностики Intelligent Security Graph (ISG) или управляемого установщика (MI) Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events
- Шаблон SmartLocker SmartLocker template
- Включение событий диагностики isG и MI Enabling ISG and MI diagnostic events
Windows: Логи Выключений/Перезагрузок
При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.
В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.
Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.
Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →
Коды Событий Выключения
Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:
| Event ID | Описание |
|---|---|
| 41 | Система была перезагружена без корректного завершения работы. |
| 1074 | Система была корректного выключена пользователем или процессом. |
| 1076 | Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события. |
| 6005 | Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы. |
| 6006 | Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы. |
| 6008 | Предыдущее выключение системы было неожиданным. |
| 6009 | Версия операционной системы, зафиксированная при загрузке системы. |
| 6013 | Время работы системы (англ. system uptime) в секундах. |
«Просмотр событий» — История Выключений
События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».
Запустить «Просмотр событий» и найти события связанные с выключениями:
- Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
- В панели слева разверните Журналы Windows и перейдите в Система
- Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
- Введите следующие коды в поле и нажмите OK :
Дельный Совет: История команд в PowerShell! Читать далее →
Логи Выключений в PowerShell
Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:
Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →
Журналы Windows
Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.
Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:
- через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
- в командной строке или в окне Выполнить набрать eventvwr.msc:
В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):
Описание интерфейса программы
Окно программы состоит из следующих компонентов:
Скриншот №3. Интерфейс программы
- Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
- Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
- Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
- Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).
Для удобства просмотра и управления системные журналы разбиты по категориям:
- Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
- Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
- Система (System) – здесь регистрируются события операционной системы и системных сервисов;
- Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.
В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.
Сами события также разделяются на типы:
- Сведения (Information) — информируют о штатной работе приложений.
- Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
- Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
- Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
- Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
- Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).
Работа с журналами
Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:
Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:
Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.
Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):
Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):
В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:
В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:
- Переписывать события при необходимости (Overwrite events as needed) – новое событие будет записываться поверх самого старого события в журнале, таким образом будут доступны события только за определенный диапазон времени.
- Архивировать журнал при заполнении (Overwrite the log when full) – заполненный журнал будет сохранен, последующие события будут записываться в новый файл журнала. При необходимости доступа к старым событиям, архивный файл можно будет открыть в приложении Просмотр событий (Event Viewer).
- Не переписывать события (Do not overwrite events) – при заполнении журнала выдается системное сообщение о необходимости очистить журнал, старые события не перезаписываются.
Понимание событий Application Control Understanding Application Control events
Политика Защитник Windows управления приложениями (WDAC) регистрет события локально в windows Event Viewer в принудительном режиме или в режиме аудита. A Windows Defender Application Control (WDAC) policy logs events locally in Windows Event Viewer in either enforced or audit mode. Эти события создаются в двух расположениях: These events are generated under two locations:
Коды событий, начиная с 30, отображаются в журналах приложений и служб — Майкрософт — Windows — CodeIntegrity — операционные Event IDs beginning with 30 appear in Applications and Services logs – Microsoft – Windows – CodeIntegrity – Operational
ИД событий, начиная с 80, отображаются в журналах приложений и служб — Майкрософт — Windows — AppLocker — MSI и script Event IDs beginning with 80 appear in Applications and Services logs – Microsoft – Windows – AppLocker – MSI and Script
Код события операционного журнала Microsoft Windows CodeIntegrity Microsoft Windows CodeIntegrity Operational log event IDs
| Код события Event ID | Объяснение Explanation |
|---|---|
| 3076 3076 | Аудит исполняемого файла/DLL-файла Audit executable/dll file |
| 3077 3077 | Блокировка исполняемого файла/DLL-файла Block executable/dll file |
| 3089 3089 | Событие подписи информации, сопоставленное с событием 3076 или 3077. Signing information event correlated with either a 3076 or 3077 event. Для каждой подписи файла создается одно событие 3089. One 3089 event is generated for each signature of a file. Содержит общее количество подписей в файле и индекс того, какая подпись это. Contains the total number of signatures on a file and an index as to which signature it is. Неподписаные файлы будут создавать одно событие 3089 с totalSignatureCount 0. Unsigned files will generate a single 3089 event with TotalSignatureCount 0. Коррелирует в части «Система» данных события в «Correlation ActivityID». Correlated in the «System» portion of the event data under «Correlation ActivityID». |
| 3099 3099 | Указывает, что политика загружена Indicates that a policy has been loaded |
Microsoft Windows Applocker MSI и ИД событий журнала скриптов Microsoft Windows Applocker MSI and Script log event IDs
| Код события Event ID | Объяснение Explanation |
|---|---|
| 8028 8028 | Файл скрипта аудита или MSI, созданный политикой блокировки Windows (WLDP), который вызван самими скриптами. Audit script/MSI file generated by Windows LockDown Policy (WLDP) being called by the scripthosts themselves. Примечание. В сторонних scripthosts не существует принудительных прав WDAC. Note: there is no WDAC enforcement on 3rd party scripthosts. |
| 8029 8029 | Блокировка скрипта или MSI-файла Block script/MSI file |
| 8038 8038 | Событие подписи информации, сопоставленное с событием 8028 или 8029. Signing information event correlated with either a 8028 or 8029 event. Для каждой подписи файла сценария создается одно событие 8038. One 8038 event is generated for each signature of a script file. Содержит общее количество подписей в файле скрипта и индекс того, какая подпись это подпись. Contains the total number of signatures on a script file and an index as to which signature it is. Неподписаные файлы скриптов создают одно событие 8038 с totalSignatureCount 0. Unsigned script files will generate a single 8038 event with TotalSignatureCount 0. Коррелирует в части «Система» данных события в «Correlation ActivityID». Correlated in the «System» portion of the event data under «Correlation ActivityID». |
Необязательные события диагностики Intelligent Security Graph (ISG) или управляемого установщика (MI) Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events
Если в политике WDAC включена isG или MI, можно включить события 3090, 3091 и 3092 для предоставления дополнительных диагностических сведений. If either the ISG or MI is enabled in a WDAC policy, you can optionally choose to enable 3090, 3091, and 3092 events to provide additional diagnostic information.
| Код события Event ID | Объяснение Explanation |
|---|---|
| 3090 3090 | Разрешить исполняемый/DLL-файл Allow executable/dll file |
| 3091 3091 | Аудит исполняемого файла/DLL-файла Audit executable/dll file |
| 3092 3092 | Блокировка исполняемого файла/DLL-файла Block executable/dll file |
События 3090, 3091 и 3092 создаются на основе кода состояния о том, прошел ли двоичный файл политику независимо от того, какая репутация ему была назначена или была ли она разрешена назначенным mi. 3090, 3091, and 3092 events are generated based on the status code of whether a binary passed the policy, regardless of what reputation it was given or whether it was allowed by a designated MI. Шаблон SmartLocker, который отображается в событии, должен указывать, почему двоичный файл был передан или сбой. The SmartLocker template which appears in the event should indicate why the binary passed/failed. На двоичный проход/сбой создается только одно событие. Only one event is generated per binary pass/fail. Если и ISG, и MI отключены, события 3090, 3091 и 3092 не будут созданы. If both ISG and MI are disabled, 3090, 3091, and 3092 events will not be generated.
Шаблон SmartLocker SmartLocker template
Ниже приведены поля, которые помогают диагностировать, что указывает событие 3090, 3091 или 3092. Below are the fields which help to diagnose what a 3090, 3091, or 3092 event indicates.
| Имя Name | Объяснение Explanation |
|---|---|
| StatusCode StatusCode | STATUS_SUCCESS указывает, что активные политики WDAC переданы двоичному файлу. STATUS_SUCCESS indicates a binary passed the active WDAC policies. В этом случае создается событие 3090. If so, a 3090 event is generated. В этом случае создается событие 3091, если политика блокировки находится в режиме аудита, а событие 3092 создается, если политика находится в режиме принудительного применения. If not, a 3091 event is generated if the blocking policy is in audit mode, and a 3092 event is generated if the policy is in enforce mode. |
| ManagedInstallerEnabled ManagedInstallerEnabled | Политика доверяет MI Policy trusts a MI |
| PassesManagedInstaller PassesManagedInstaller | Файл исходил из доверенного mi File originated from a trusted MI |
| SmartlockerEnabled SmartlockerEnabled | Политика доверяет isG Policy trusts the ISG |
| PassesSmartlocker PassesSmartlocker | Файл с положительной репутацией File had positive reputation |
| AuditEnabled AuditEnabled | Имеет true, если политика находится в режиме аудита, в противном случае она находится в режиме принудительного применения True if the policy is in audit mode, otherwise it is in enforce mode |
Включение событий диагностики isG и MI Enabling ISG and MI diagnostic events
Чтобы включить события аудита 3091 и события блокировки 3092, необходимо создать regkey TestFlags со значением 0x100. In order to enable 3091 audit events and 3092 block events, you must create a TestFlags regkey with a value of 0x100. Это можно сделать с помощью следующей команды PowerShell: You can do so using the following PowerShell command:
Чтобы включить события 3090, а также события 3091 и 3092, необходимо создать regkey TestFlags со значением 0x300. In order to enable 3090 allow events as well as 3091 and 3092 events, you must instead create a TestFlags regkey with a value of 0x300. Это можно сделать с помощью следующей команды PowerShell: You can do so using the following PowerShell command:
