Настройка безопасности журнала событий локально или с помощью групповой политики

В Windows Server 2012 можно настроить права на доступ к журналам событий системы безопасности. Эти параметры можно настроить локально или с помощью групповой политики. В этой статье описывается использование обоих этих методов.

Исходная версия продукта: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Исходный номер КБ: 323076

Аннотация

Вы можете предоставить пользователям одно или несколько из следующих прав доступа к журналам событий:

Журнал безопасности можно настроить таким же образом. Однако можно изменить только разрешения на чтение и очистку доступа. Доступ на запись в журнал безопасности зарезервирован только для локального органа безопасности Windows (LSA).

Для этой цели можно использовать политику административных шаблонов. Например, путь к системным событиям:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба журнала событий\Система

Этот параметр настраивает доступ к журналу и принимает ту же строку SDDL.

Корпорация Майкрософт предлагает двигаться к этому методу после перехода на Windows Server 2012.

Локализованная настройка безопасности журнала событий

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой теме.

Безопасность каждого журнала настраивается локально с помощью значений в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog реестра.

Например, дескриптор безопасности журнала приложений настраивается с помощью следующего значения реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD .

Дескриптор безопасности для каждого журнала задан с помощью синтаксиса SDDL. Дополнительные сведения о синтаксис SDDL см. в разделе «Platform SDK» или в статье, упомянутой в разделе «Ссылки» этой статьи.

Чтобы создать строку SDDL, обратите внимание, что существует три отдельных права, относящихся к журналам событий: чтение, запись и очистка. Эти права соответствуют следующим битам в поле прав доступа строки ACE:

Ниже приводится пример SDDL, в нем показана строка SDDL по умолчанию для журнала приложений. Права доступа (в hexadecimal) имеют полужирный шрифт для иллюстрации:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;;I U)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Например, первый ACE отказано анонимным пользователям в чтении, записи и очистке доступа к журналу. Шестой ACE позволяет интерактивным пользователям читать и записывать данные в журнал.

Изменение локальной политики, чтобы разрешить настройку безопасности журналов событий

С архивализуйте файл %WinDir%\Inf\Sceregvl.inf в известном расположении.

Откройте %WinDir%\Inf\Sceregvl.inf в Блокноте.

Прокрутите файл до середины и поместите указатель непосредственно перед [Strings].

Вставьте следующие строки:

Прокрутите файл до конца и вставьте следующие строки:

AppLogSD=»Журнал событий: указание безопасности журнала приложений в синтаксис языка определения дескриптора безопасности (SDDL) »
SysLogSD=»Журнал событий: указание безопасности системного журнала в синтаксис языка определения дескриптора безопасности (SDDL) «

Сохраните и закроем файл.

Выберите «Начните», выберите «Выполнить», введите regsvr32 scecli.dll в поле «Открыть» и нажмите ввод.

В диалоговом окне DllRegisterServer scecli.dll успешного выбора, выберите «ОК».

Использование локальной групповой политики компьютера для обеспечения безопасности приложений и системных журналов

1. Выберите «Начните»,выберите «Выполнить», введите gpedit.msc и выберите «ОК».
2. В редакторе групповой политики разбейте «Параметры Windows»,«Параметры безопасности»,«Локальные политики» и «Параметры безопасности».
3. Дважды щелкните журнал событий: SDDL журнала приложений, введите строку SDDL, которая будет нужна для безопасности журнала, а затем нажмите кнопку «ОК».
4. Дважды щелкните журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку «ОК».

Использование групповой политики для установки безопасности приложений и системных журналов для домена, сайта или подразделения в Active Directory

Чтобы просмотреть параметры групповой политики, описанные в этой статье в редакторе групповой политики, сначала выполните следующие действия, а затем перейдите к разделу «Использование групповой политики для настройки безопасности приложений и системных журналов»:

Используйте текстовый редактор, например Блокнот, чтобы открыть Sceregvl.inf в папке %Windir%\Inf.

Добавьте следующие строки в раздел [Регистрация значений реестра]:

MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

Добавьте следующие строки в раздел [Strings]:

AppCustomSD=»Eventlog: дескриптор безопасности для журнала событий приложения»
SecCustomSD=»Eventlog: дескриптор безопасности для журнала событий безопасности»
SysCustomSD=»Eventlog: дескриптор безопасности для системного журнала событий»
DSCustomSD=»Eventlog: дескриптор безопасности для журнала событий службы каталогов»
DNSCustomSD=»Eventlog: дескриптор безопасности для журнала событий DNS Server»
FRSCustomSD=»Eventlog: дескриптор безопасности для журнала событий службы репликации файлов»

Сохраните изменения, внесенные в файл Sceregvl.inf, а затем запустите regsvr32 scecli.dll команду.

Запустите Gpedit.msc и дважды щелкните следующие ветви, чтобы развернуть их:

Конфигурация компьютера
Параметры Windows
Параметры безопасности
Локальные политики
Параметры безопасности

Чтобы найти новые параметры eventlog, перейдите на правую панель.

Использование групповой политики для обеспечения безопасности приложений и системных журналов

В оснастке «Active Directory — сайты и службы» или оснастке «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши объект, для которого необходимо установить политику, а затем выберите «Свойства».

Выберите вкладку «Групповая политика».

Если необходимо создать новую политику, выберите «Создать» и определите имя политики. В противном случае перейдите к шагу 5.

Выберите политику, которую нужно, а затем выберите «Изменить».

Появится оснастка MMC «Локализованная групповая политика».

Раз развернуть конфигурацию компьютера, развернуть параметры Windows, развернуть параметры безопасности, развернуть локальные политики, а затем выбрать параметры безопасности.

Дважды щелкните журнал событий: SDDL журнала приложений, введите строку SDDL, которая будет нужна для безопасности журнала, а затем нажмите кнопку «ОК».

Дважды щелкните журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку «ОК».

Ссылки

Дополнительные сведения о синтаксис SDDL и о том, как создать строку SDDL, см. в формате строки дескриптора безопасности.

Настройка ведения журнала событий диагностики Active Directory и LDS

В этой пошаговой статье описывается настройка ведения журнала событий диагностики Active Directory в операционных системах Microsoft Windows Server.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 7 Пакет обновления 1
Исходный номер КБ: 314980

Аннотация

Active Directory записи событий в журнал служб каталогов или экземпляра LDS в просмотр событий. Вы можете использовать сведения, собранные в журнале, чтобы диагностировать и устранять возможные проблемы, а также отслеживать действия событий, связанных с Active Directory, на сервере.

По умолчанию в журнал службы каталогов Active Directory записывают только критические события и события ошибок. Чтобы настроить Active Directory для записи других событий, необходимо повысить уровень ведения журнала путем изменения реестра.

Ведение журнала событий диагностики Active Directory

Записи реестра, которые управляют ведением журнала диагностики для Active Directory, хранятся в следующих поднаборах реестра.

Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Diagnostics

Каждое из следующих REG_DWORD в подмайке представляет тип события, которое может быть записано Diagnostics в журнал событий:

1. Проверка согласованности знаний (KCC)
2. События безопасности
3. События интерфейса ExDS
4. События интерфейса MAPI
5. События репликации
6. Сборка мусора
7. Внутренняя конфигурация
8. Доступ к каталогам
9. Внутренняя обработка
10. Счетчики производительности
11. Инициализация/завершение
12. Управление службами
13. Разрешение имен
14. Резервное копирование
15. Field Engineering
16. События интерфейса LDAP
17. Настройка
18. Глобальный каталог
19. Обмен сообщениями между сайтами
20. Кэшинг групп
21. Linked-Value репликации
22. Клиент RPC DS
23. Сервер RPC DS
24. Схема DS
25. Механизм преобразования
26. Управление доступом на основе утверждений

Уровни ведения журнала

Каждой записи может быть назначено значение от 0 до 5, и это значение определяет уровень детализации зарегистрированных событий. Уровни ведения журнала описываются как:

• 0 (Нет): на этом уровне регистрируются только критические события и события ошибок. Это параметр по умолчанию для всех записей, и его следует изменять, только если возникает проблема, которую необходимо изучить.
• 1 (минимально). События высокого уровня записываются в журнал событий в этом параметре. События могут включать одно сообщение для каждой основной задачи, выполняемой службой. Используйте этот параметр, чтобы начать исследование, если вы не знаете расположение проблемы.
• 2 (базовый)
• 3 (обширная): на этом уровне записываются более подробные сведения, чем на более низких уровнях, например действия, выполняемые для выполнения задачи. Используйте этот параметр, если проблема сужается до службы или группы категорий.
• 4 (подробный)
• 5 (внутренний): на этом уровне занося в журнал все события, включая строки отлаки и изменения конфигурации. Записуется полный журнал службы. Используйте этот параметр, если вы отследили проблему до определенной категории небольшого набора категорий.

Настройка ведения журнала событий диагностики Active Directory

Чтобы настроить ведение журнала событий диагностики Active Directory, выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows.

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите regedit и выберите «ОК».

Найдите и выберите следующие ключи реестра.

Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Diagnostics

Каждая запись, отображаемая в правой области окна редактора реестра, представляет тип события, которое active Directory может занося в журнал. Для всех записей по умолчанию установлено значение 0 (Нет).

Настройте ведение журнала событий для соответствующего компонента:

1. В правой области редактора реестра дважды щелкните запись, представляюную тип события, для которого необходимо зайти в журнал. Например, «События безопасности».
2. Введите нужный уровень ведения журнала (например, 2) в поле данных «Значение» и выберите «ОК».

Повторите шаг 4 для каждого компонента, который необходимо занося в журнал.

В меню реестра выберите «Выход», чтобы выйти из редактора реестра.

• Для уровней ведения журнала должно быть установлено значение по умолчанию 0 (Нет), если вы не изучаете проблему.
• При увеличении уровня ведения журнала также увеличивается детализация каждого сообщения и количество сообщений, записав их в журнал событий. Уровень диагностики 3 или больше не рекомендуется, так как ведение журнала на этих уровнях требует больше системных ресурсов и может ухудшить производительность сервера. Убедитесь, что записи сбрасываются до 0 после завершения исследования проблемы.

Как посмотреть журнал ошибок ОС Windows 2016

Просмотр системного журнала

Если в работе Windows 2016 появляется какая-то нестабильность, или появляются ошибки запуска\установки приложений, то это может быть связано с появлениями ошибок в самой операционной системе.

Все системные ошибки и предупреждения можно найти в «Журнале системы«.

В нем сохраняется информация о событиях, записываемых системными компонентами Windows.
Для просмотра и сохранения системного журнала нужно выполнить шаги:

Открыть «Пуск«:

Открыть «Средства администрирования» -> «Просмотр событий«

В открывшемся окне выбрать «Просмотр событий» -> «Журналы Windows» -> «Система«

Экспорт журнала

Системный журнал в полном объеме можно выгрузить путем нажатия на ссылку «Сохранить все события как. «

После нажатия ссылки «Сохранить все события как. » нужно выбрать путь и имя файла для сохраняемого журнала.

При сохранении файла возможно появление окна «Отображение сведений«.

В данном окне нужно выбрать пункт «Отображать сведения для следующих языков: Русский«