Как использовать просмотр событий Windows для решения проблем с компьютером

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Настройка сбора данных о событиях Windows Configure Windows Event collection

Функции обнаружения Microsoft Defender для удостоверений Microsoft Defender for Identity анализируют определенные записи журнала событий Windows для расширения своих возможностей и предоставления дополнительных сведений о том, кто именно выполняет определенные действия, например вход через NTLM, изменение групп безопасности и действия при аналогичных событиях. Microsoft Defender для удостоверений Microsoft Defender for Identity detection relies on specific Windows Event log entries to enhance some detections and provide additional information on who performed specific actions such as NTLM logons, security group modifications, and similar events. Чтобы проводить аудит и включать в журнал событий Windows нужные события, контроллерам домена требуются точные параметры расширенной политики аудита. For the correct events to be audited and included in the Windows Event Log, your domain controllers require accurate Advanced Audit Policy settings. Неверные параметры расширенной политики аудита могут привести к тому, что требуемые события не будут записываться в журнал и охват Defender для удостоверений Defender for Identity будет неполным. Incorrect Advanced Audit Policy settings can lead to the required events not being recorded in the Event Log and result in incomplete Defender для удостоверений Defender for Identity coverage.

Чтобы расширить возможности обнаружения угроз, необходимо настроить следующие события Windows и обеспечить их сбор в Defender для удостоверений Defender for Identity : To enhance threat detection capabilities, Defender для удостоверений Defender for Identity needs the following Windows Events to be configured and collected by Defender для удостоверений Defender for Identity :

Для событий служб федерации Active Directory (AD FS) For Active Directory Federation Services (AD FS) events

• 1202 — служба федерации проверила новые учетные данные. 1202 — The Federation Service validated a new credential
• 1203 — службе федерации не удалось проверить новые учетные данные. 1203 — The Federation Service failed to validate a new credential
• 4624 — учетная запись успешно использована для входа в систему. 4624 — An account was successfully logged on
• 4625 — учетную запись не удалось использовать для входа в систему. 4625 — An account failed to log on

Для прочих событий For Other events

• 4726 — удаление учетной записи пользователя 4726 — User Account Deleted
• 4728 — добавление участника в глобальную группу безопасности 4728 — Member Added to Global Security Group
• 4729 — удаление участника из глобальной группы безопасности 4729 — Member Removed from Global Security Group
• 4730 — удаление глобальной группы безопасности 4730 — Global Security Group Deleted
• 4732 — добавление участника в локальную группу безопасности 4732 — Member Added to Local Security Group
• 4733 — удаление участника из локальной группы безопасности 4733 — Member Removed from Local Security Group
• 4741 — добавление учетной записи компьютера 4741 — Computer Account Added
• 4743 — удаление учетной записи компьютера 4743 — Computer Account Deleted
• 4753 — удаление глобальной группы рассылки 4753 — Global Distribution Group Deleted
• 4756 — добавление участника в универсальную группу безопасности 4756 — Member Added to Universal Security Group
• 4757 — удаление участника из универсальной группы безопасности 4757 — Member Removed from Universal Security Group
• 4758 — удаление универсальной группы безопасности 4758 — Universal Security Group Deleted
• 4763 — удаление универсальной группы рассылки 4763 — Universal Distribution Group Deleted
• 4776 — попытка проверки данных учетной записи контроллером домена (NTLM) 4776 — Domain Controller Attempted to Validate Credentials for an Account (NTLM)
• 7045 — установка новой службы 7045 — New Service Installed
• 8004 — проверка подлинности NTLM 8004 — NTLM Authentication

Настройка политик аудита Configure audit policies

Чтобы изменить расширенные политики аудита контроллера домена, выполните следующие инструкции. Modify the Advanced Audit Policies of your domain controller using the following instructions:

Войдите на сервер с правами администратора домена. Log in to the Server as Domain Administrator.

Загрузите редактор управления групповыми политиками из соответствующего раздела, последовательно выбрав Диспетчер сервера > Средства > Управление групповой политикой. Load the Group Policy Management Editor from Server Manager > Tools > Group Policy Management.

Разверните узел Подразделения контроллеров домена, щелкните правой кнопкой мыши элемент Политика контроллеров домена по умолчанию и выберите Изменить. Expand the Domain Controllers Organizational Units, right-click on Default Domain Controllers Policy, and then select Edit.

Для задания этих политик можно использовать политику контроллеров домена по умолчанию или выделенный объект групповой политики (GPO). You can use the Default Domain Controllers Policy or a dedicated GPO to set these policies.

В открывшемся окне последовательно выберите Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности и в зависимости от включаемой политики выполните следующие действия. From the window that opens, go to Computer Configuration > Policies > Windows Settings > Security Settings and depending on the policy you want to enable, do the following:

Для конфигурации расширенной политики аудита For Advanced Audit Policy Configuration

Перейдите в раздел Конфигурация расширенной политики аудита > Политики аудита. Go to Advanced Audit Policy Configuration > Audit Policies.

В разделе Политики аудита измените каждую из следующих политик и выберите Настроить следующие события аудита как для выполненных событий, так и для событий со сбоем. Under Audit Policies, edit each of the following policies and select Configure the following audit events for both Success and Failure events.

Политика аудита Audit policy	Подкатегория Subcategory	ИД активируемых событий Triggers event IDs
Вход учетной записи Account Logon	Аудит проверки учетных данных Audit Credential Validation	4776 4776
Управление учетными записями Account Management	Аудит управления учетными записями компьютеров Audit Computer Account Management	4741, 4743 4741, 4743
Управление учетными записями Account Management	Аудит управления группами распространения Audit Distribution Group Management	4753, 4763 4753, 4763
Управление учетными записями Account Management	Аудит управления группами безопасности Audit Security Group Management	4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
Управление учетными записями Account Management	Аудит управления учетными записями пользователей Audit User Account Management	4726 4726
Система System	Аудит расширения системы безопасности Audit Security System Extension	7045 7045

Например, чтобы настроить Аудит управления группами безопасности, в разделе Управление учетными записями дважды щелкните Аудит управления группами безопасности и выберите Настроить следующие события аудита как для выполненных событий, так и для событий со сбоем. For example, to configure Audit Security Group Management, under Account Management, double-click Audit Security Group Management, and then select Configure the following audit events for both Success and Failure events.

Для локальных политик (ИД события: 8004) For Local Policies (Event ID: 8004)

• Групповые политики домена для получения событий 8004 в Windows должны применяться только к контроллерам домена. Domain group policies to collect Windows Event 8004 should only be applied to domain controllers.
• Когда датчик Defender для удостоверений Defender for Identity анализирует события Windows 8004, действия аутентификации NTLM Defender для удостоверений Defender for Identity обогащаются данными, к которым получает доступ сервер. When Windows Event 8004 is parsed by Defender для удостоверений Defender for Identity Sensor, Defender для удостоверений Defender for Identity NTLM authentications activities are enriched with the server accessed data.

Перейдите в раздел Локальные политики > Параметры безопасности. Go to Local Policies > Security Options.

В разделе Параметры безопасности настройте указанные политики безопасности следующим образом. Under Security Options, configure the specified security policies, as follows

Параметр политики безопасности Security policy setting	Значение Value
Сетевая безопасность: ограничения NTLM — исходящий трафик NTLM к удаленным серверам Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers	Аудит всего Audit all
Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене Network security: Restrict NTLM: Audit NTLM authentication in this domain	Включить все Enable all
Сетевая безопасность: Ограничение NTLM: Аудит входящего трафика NTLM Network security: Restrict NTLM: Audit Incoming NTLM Traffic	Включить аудит для всех учетных записей Enable auditing for all accounts

Например, чтобы настроить Исходящий трафик NTLM к удаленным серверам, в разделе Параметры безопасности дважды щелкните Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам и выберите Аудит всего. For example, to configure Outgoing NTLM traffic to remote servers, under Security Options, double-click Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers, and then select Audit all.

Если вместо групповой политики выбрана локальная политика безопасности, добавьте в нее журналы аудита Вход учетной записи, Управление учетными записями и Параметры безопасности. If you choose to use a local security policy instead of using a group policy, make sure to add the Account Logon, Account Management, and Security Options audit logs in your local policy. При настройке расширенной политики аудита следует принудительно применить подкатегорию политики аудита. If you are configuring the advanced audit policy, make sure to force the audit policy subcategory.

Новые события, примененные с помощью объекта групповой политики, отображаются в журналах событий Windows. After applying via GPO, the new events are visible under your Windows Event logs.

Настройка сбора данных о событиях Configure event collection

В датчике Defender для удостоверений Defender for Identity сбор этих данных может происходить автоматически. Если датчик Defender для удостоверений Defender for Identity не развернут, события могут перенаправляться автономному датчику Defender для удостоверений Defender for Identity одним из следующих способов: These events can be collected automatically by the Defender для удостоверений Defender for Identity sensor or, if the Defender для удостоверений Defender for Identity sensor is not deployed, they can be forwarded to the Defender для удостоверений Defender for Identity standalone sensor in one of the following ways:

• Автономные датчики Defender для удостоверений Defender for Identity не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Defender для удостоверений Defender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений Defender for Identity . For full coverage of your environment, we recommend deploying the Defender для удостоверений Defender for Identity sensor.
• Важно просмотреть и проверить политики аудита перед включением сбора данных о событиях, чтобы убедиться, что контроллеры доменов настроены правильно для записи необходимых событий. It is important to review and verify your audit policies before enabling event collection to ensure that the domain controllers are properly configured to record the necessary events.