Журнал аудита windows это

Как уже упоминалось ранее, Windows XP Professional регистрирует в журналах происходящие события, которые отслеживаются политикой аудита. Пользуясь информацией журналов событий, можно получить сведения о неполадках аппаратного и программного обеспечения, а также наблюдать за событиями безопасности Windows. Управлять и просматривать содержимое журналов событий можно с помощью утилиты Просмотр событий (Event Viewer).

Чтобы открыть окно Просмотр событий, нажмите кнопку Пуск, выберите команду Панель управления, дважды щелкните значок Администрирование, затем дважды щелкните значок Просмотр событий.

Утилита просмотра событий позволяет просматривать три журнала:

• Журнал приложений. Регистрирует сообщения об ошибках, предупреждения или информацию, которые возникают при работе различных приложений.
• Журнал безопасности. Содержит записи об успешных или неудачных попытках выполнения операций, обозначенных политикой аудита.
• Системный журнал. Регистрирует сообщения об ошибках, предупреждения и данные, выдаваемые операционной системой Windows XP Professional.

Дополнительные журналы могут быть добавлены при установке дополнительных служб.

Просмотр журналов аудита.

Чтобы просмотреть содержимое журнала, нужно в левой части окна Просмотр событий, в дереве консоли, установить указатель мышки на один из журналов.

В правой части окна отобразится список событий с кратким описанием каждого события. В левом столбце указан тип сообщения, далее дата и время регистрации. Кроме того указан источник, от которого поступило сообщение, категория события, его идентификационный номер, и другие данные.

Чтобы посмотреть более полную информацию о любом событии, щелкните правой кнопкой мышки по строке с названием события и из контекстного меню выберите Свойства. Также можно воспользоваться меню, выбрав в разделе Действия пункт Свойства.

Кнопки с изображением стрелок позволяют перемещаться по записям открытого журнала и не закрывая окна свойств события, просматривать другие записи журнала.
Windows XP регистрирует события, происходящие на данном локальном компьютере. Журнал событий можно просматривать с любого компьютера локальной сети, при наличии прав администратора на компьютере, где расположен журнал.
Что бы просмотреть журнал другого компьютера, откройте консоль MMC и выберите просмотр событий удаленного компьютера.

Управление журналами аудита.

Windows XP Professional позволяет изменять различные параметры журналов, принятые по умолчанию. Параметры каждого журнала можно настраивать в отдельности. Для изменения параметров журнала, в левой части окна Просмотр событий, Щелкните правой кнопкой мышки по названию журнала и в контекстном меню выберите Свойства (можно также воспользоваться разделом Действие строчного меню, выбрав пункт Свойства).

Вкладка Общие содержит информацию о журнале: название журнала, место хранения, размер, дату создания, дату последнего изменения. В разделе Размер журнала можно изменить максимальный размер журнала, который может изменяться от 64 Кбайт до 4 Гбайт (по умолчанию 512 Кбайт).
С помощью переключателя можно определить действие, которое будет выполняться по достижении максимального размера журнала.

Действие	Описание
Затирать старые события по необходимости	При переполнении журнала самые старые (по дате регистрации) события автоматически удаляются, освобождая место для новых событий.
Затирать события старее X дней	Автоматически удаляется информация, поступившая более X дней назад, где X — число дней. По умолчанию X =7.
Не затирать события	При заполнении журнала, Windows XP Professional прекращает регистрацию новых событий и выдает на экран предупреждение о заполнении журнала. Журнал нужно очистить вручную или перевести в другой режим.

При использовании сетевого подключения к журналу можно установить флажок Подключение по медленной линии, если чтение журнала с другого компьютера происходит слишком медленно.
На вкладке Фильтр можно установить параметры вывода информации на экран.

Например, чтобы просмотреть только сообщения об ошибках, не выводя на экран остальные сообщения, установите флажок Ошибки, и отключите все остальные. Также можно вывести сообщения, поступившие только от определенного приложения или службы. Можно просматривать сообщения за определенный промежуток времени.

Чтобы иметь возможность просматривать содержимое журналов за длительный промежуток времени, рекомендуется периодически архивировать текущие журналы. Утилита Просмотр событий позволяет производить архивацию журналов, очистку и просмотр архивных журналов. Для этого выберите нужный журнал и выполните одно из действий меню Действия:

• Открыть файл журнала. Загрузить для просмотра архивный журнал.
• Сохранить файл журнала как. Сохранить текущий журнал в файл (архив).
• Создать вид журнала. Сделать в текущем окне копию журнала.
• Стереть все события. Очистить текущий журнал.

Управление журналом аудита и безопасности Manage auditing and security log

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Управление аудитом и журналом безопасности». Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключи реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты указывают свои системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право, также может просмотреть и очистить журнал безопасности в окне просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more info about the Object Access audit policy, see Audit object access.

Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Администраторы Administrators
• Не определено Not Defined

Рекомендации Best practices

1. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
2. Как правило, назначать это право пользователю группам, кроме администраторов, не требуется. Generally, assigning this user right to groups other than Administrators is not necessary.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Аудит доступа к объектам не выполняется, если их не включить с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.

Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more information about the Object Access audit policy, see Audit object access.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Любой пользователь с правом на управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные признаки несанкционированной деятельности. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.

Противодействие Countermeasure

Убедитесь, что только у локальной группы администраторов есть право на управление аудитом и журналом безопасности. Ensure that only the local Administrators group has the Manage auditing and security log user right.

Возможное влияние Potential impact

Настройка по умолчанию ограничивает права пользователя журнала аудита и безопасности только локальной группой администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.

Предупреждение: Если группе, кроме локальной группы администраторов, назначено это право пользователя, удаление этого права пользователя может привести к проблеме производительности в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.

Аудит системных событий Audit system events

Область применения Applies to

Определяет, следует ли проводить аудит, когда пользователь перезапускает или выключает компьютер, или когда происходит событие, которое влияет либо на безопасность системы, либо на журнал безопасности. Determines whether to audit when a user restarts or shuts down the computer or when an event occurs that affects either the system security or the security log.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

По умолчанию: Default:

• Успех на контроллерах домена. Success on domain controllers.
• Аудит на серверах-членах не проводится. No auditing on member servers.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.