Купить книгу на OZON.ru

При помощи стандартной оснастки ПРОСМОТР СОБЫТИЙ (консоль eventvwr.msc) можно получить доступ к записям стандартных журналов операционной системы, а также записям многих других журналов.

Иногда стандартные журналы операционной системы являются единственным способом определения того, правильно ли функционирует компьютер. Например, к таким ситуациям можно отнести использование компьютера в качестве сервера, который работает без взаимодействия с пользователем (оператором).

Если компьютер работает в качестве описанного выше сервера, любая возникшая ошибка, которая отображает свой собственный диалог, может остановить работу сервера. В этом случае можно запретить операционной системе выдачу диалогов с описаниями ошибок. Для этого достаточно параметру REG_DWORD типа ShellErrorMode, расположенному в ветви реестра HKLM\SYSTEM\CurrentControlSet\Control\Windows, присвоить значение 0.

Операционная система Windows Vista поддерживает следующие стандартные журналы.

• ПРИЛОЖЕНИЕ. Содержит в себе записи о работе различных установленных в операционной системе программ.
• БЕЗОПАСНОСТЬ. Содержит в себе записи, касающиеся безопасности операционной системы: записи входа в операционную систему, записи аудита и т.д.
• НАСТРОЙКА. Содержит в себе записи, созданные при установке компонентов операционной системы или новых программ.
• СИСТЕМА. Содержит в себе записи, созданные компонентами операционной системы.
• ПЕРЕСЛАННЫЕ СОБЫТИЯ. Содержит в себе записи, которые были получены от других компьютеров сети (на получение сведений от которых вы подписаны).

Как и раньше, существуют следующие уровни записей: КРИТИЧЕСКОЕ, ПРЕДУПРЕЖДЕНИЕ, ПОДРОБНОСТИ, ОШИБКА, СВЕДЕНИЯ.

Настроить параметры работы оснастки Просмотр событий можно при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\EventViewer.

MicrosoftEventVwrDisableLinks. Если значение данного параметра равно 1, тогда ссылка Веб-справка журнала будет заблокирована. Данная ссылка реализована на основе страницы events.asp.

MicrosoftRedirectionProgram. Данный параметр имеет расширенный строковый тип. Он определяет путь к сценарию, который будет выполняться при нажатии на ссылку Веб-справка журнала.

MicrosoftRedirectionProgramCommandLineParameters. Данный параметр имеет строковый тип. Он определяет параметры, которые будут передаваться программе, определенной в значении параметра MicrosoftRedirectionProgram, при выборе ссылки Веб-справка журнала.

Записи аудита

Одним из видов записей, которые можно встретить в журнале БЕЗОПАСНОСТЬ, являются записи аудита. Записи такого типа создаются в том случае, если система обнаружила изменения в состоянии какого-либо объекта, за изменениями в котором выполняется слежение.

Установка слежения

А вот установить слежение за изменениями какого-либо объекта (например, файла или ветви реестра) можно при помощи вкладки АУДИТ диалога ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ. Данный диалог отображается после нажатия на кнопку ДОПОЛНИТЕЛЬНО диалога БЕЗОПАСНОСТЬ (или вкладки БЕЗОПАСНОСТИ диалога СВОЙСТВА соответствующего файла или папки).

Активация аудита

Однако перед этим необходимо убедится, что аудит нужного вам типа событий активирован.

Для этого можно воспользоваться разделом КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПОЛИТИКА АУДИТА оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

При помощи элементов данного раздела можно установить аудит успеха и отказа для определенных видов событий. Например, чтобы можно было выполнять аудит изменения какого-либо объекта (например, файла или ветви реестра), нужно активировать аудит доступа к объектам.

Активация аудита изменяет отдельные биты параметра REG_NONE типа (по умолчанию), расположенного в ветви реестра HKLM\SECURITY\Policy\PolAdtEv.

Настройки аудита

Некоторые параметры аудита можно настроить при помощи элементов подраздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

Все они изменяют значения параметров REG_DWOD типа ветви реестра HKLM\System\CurrentControlSet\Control\Lsa.

AuditBaseObjects Значение данного параметра изменяется элементом АУДИТ: АУДИТ ДОСТУПА ГЛОБАЛЬНЫХ СИСТЕМНЫХ ОБЪЕКТОВ.

По умолчанию аудит отключен. Если данный элемент будет включен, тогда будет разрешено выполнять аудит доступа к таким объектам, как мьютексы (флаги взаимного исключения), события, семафоры (механизм блокировки, используемый диспетчерами или распределителями ресурсов) и DOS-устройства.

CrashOnAuditFail Значение данного параметра изменяется элементом АУДИТ: НЕМЕДЛЕННОЕ ОТКЛЮЧЕНИЕ СИСТЕМЫ, ЕСЛИ НЕВОЗМОЖНО ВНЕСТИ В ЖУРНАЛ ЗАПИСИ ОБ АУДИТЕ БЕЗОПАСНОСТИ.

По умолчанию работа системы завершаться не будет.

FullPrivilegeAuditing Данный параметр имеет тип REG_BINARY. Его значение изменяется элементом АУДИТ: АУДИТ ПРАВ НА АРХИВАЦИЮ И ВОССТАНОВЛЕНИЕ.

По умолчанию данный вид аудита отключен. Данный элемент определяет, будет ли выполняться аудит использования прав на архивацию и восстановление.

SCENoApplyLegacyAuditPolicy Значение данного параметра изменяется элементом АУДИТ: ПРИНУДИТЕЛЬНО ПЕРЕОПРЕДЕЛЯЕТ ПАРАМЕТРЫ КАТЕГОРИИ ПОЛИТИКИ АУДИТА ПАРАМЕТРАМИ ПОДКАТЕГОРИИ ПОЛИТИКИ АУДИТА (WINDOWS VISTA ИЛИ СЛЕДУЮЩИЕ ВЕРСИИ).

По умолчанию переопределение аудита отключено.

Настройка каналов дополнительных журналов

Кроме пяти стандартных журналов Windows Vista поддерживает ряд дополнительных, которые определены в подразделе ЖУРНАЛЫ ПРИЛОЖЕНИЙ И СЛУЖБ оснастки ПРОСМОТР СОБЫТИЙ.

Эти журналы, как и стандартные журналы, работают на основе каналов. Название канала, который соответствует определенному журналу, можно узнать из поля ПОЛНОЕ ИМЯ диалога СВОЙСТВА соответствующего журнала.

Настройки работы определенного канала хранятся в параметрах REG_DWORD типа, расположенных в ветви реестра вида HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\«имя канала».

Enabled Если значение данного параметра равно 0, тогда ведение соответствующего каналу журнала будет отключено.

Значение данного параметра можно изменить при помощи флажка ВКЛЮЧИТЬ ВЕДЕНИЕ ЖУРНАЛА диалога СВОЙСТВА соответствующего журнала.

BufferSize Значение данного параметра определяет размер буфера, используемого каналом.

File Данный параметр имеет строковый тип. Он определяет путь к файлу, используемому соответствующим журналом.

Значение данного параметра отображается в поле ПУТЬ ЖУРНАЛА диалога СВОЙСТВА соответствующего журнала.

MinBuffers Значение данного параметра определяет минимальное количество буферов, используемых каналом.

MaxBuffers Значение данного параметра определяет максимальное количество буферов, используемых каналом.

MaxSize Значение данного параметра определяет максимальный размер соответствующего каналу журнала (в байтах).

Значение данного параметра можно изменить при помощи поля МАКС. РАЗМЕР ЖУРНАЛА (КБ) диалога СВОЙСТВА соответствующего журнала.

AutoBackupLogFiles Значение данного параметра определяет, будет ли выполнять автоматическое архивирование соответствующего каналу журнала перед его удалением или перезаписью.

Значение данного параметра равно 1, если переключатель ПРИ ДОСТИЖЕНИИ МАКСИМАЛЬНОГО РАЗМЕРА диалога СВОЙСТВА соответствующего журнала установлен в положение АРХИВИРОВАТЬ ЗАПОЛНЕННЫЙ ЖУРНАЛ, НЕ ПЕРЕПИСЫВАЯ СОБЫТИЯ.

ChannelAccess Данный параметр имеет строковый тип. Он определяет права доступа пользователей к каналу.

Retention Значение данного параметра определяет интервал времени (в часах), по истечении которого операционная система выполнить автоматическую очистку содержимого соответствующего каналу журнала.

Значение данного параметра равно 0, если переключатель ПРИ ДОСТИЖЕНИИ МАКСИМАЛЬНОГО РАЗМЕРА диалога СВОЙСТВА установлен в положение ПЕРЕПИСЫВАТЬ СОБЫТИЯ ПРИ НЕОБХОДИМОСТИ (СНАЧАЛА СТАРЫЕ СОБЫТИЯ).

В остальных случаях значение данного параметра равно 0xffffffff.

Type Значение данного параметра определяет, будет ли соответствующий каналу журнал отображаться в оснастке ПРОСМОТР СОБЫТИЙ.

При значении, равном 1, журнал отображается в оснастке. Если же значение данного параметра равно 2 или 3, тогда журнал в оснастке ПРОСМОТР СОБЫТИЙ отображаться не будет. В этом случае он будет считаться журналом для внутренних целей. Например, таким способом скрыты журналы ADSI/Debug, Alt-Tab/Diagnostic и т.д.

Настройка стандартных журналов

Настройки стандартных журналов хранятся в подразделах ветви реестра HKLM\SYSTEM\CurrentControlSet\services\eventlog. Данная ветвь реестра является ветвью службы ЖУРНАЛ СОБЫТИЙ WINDOWS.

Настройка каналов стандартных журналов

Стандартные журналы также основаны на каналах. Однако их каналы определяются при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SYSTEM\CurrentControlSet\services\eventlog\«название стандартного журнала».

В операционной системе Windows Vista данная ветвь реестра содержит в себе следующие подразделы стандартных журналов: Application, HardwareEvents, Internet Explorer, Media Center, Key Management Service, DFS Replication, Security и System.

Каналы стандартных журналов имеют те же параметры реестра, что и каналы дополнительных журналов подраздела ЖУРНАЛЫ ПРИЛОЖЕНИЙ И СЛУЖБ.

Также настроить параметры хранения основных журналов операционной системы можно при помощи параметров строкового типа подразделов ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog. В данной ветви реестра могут находиться следующие подразделы: Application, Security, Setup, System.

File. Данный параметр содержит в себе путь к файлу, хранящему записи соответствующего журнала.

AutoBackupLogFiles. Если значение данного параметра равно 1, тогда операционная система будет выполнять архивирование файлов журнала, достигших максимального размера.

ChannelAccess. Данный параметр содержит в себе дескриптор безопасности (в формате SDDL) соответствующего журнала. По умолчанию дескриптор безопасности определяет разрешения записи и чтения для администраторов, и только чтения для пользователей.

MaxSize. Данный параметр имеет тип REG_DWORD. Он определяет максимальный размер файла журнала.

Enabled. Данный параметр может находиться только в подразделе Setup. Если его значение равно 1, тогда стандартный журнал Настройка будет отображаться в оснастке Просмотр событий.

Retention. Если значение данного параметра равно 1, тогда при достижении максимального значения файла журнала новые события заноситься в него не будут.

Однако каналы, соответствующие подразделам Application, Security и System, дополнительно поддерживают следующие параметры REG_DWORD типа.

DisplayNameFile Данный параметр имеет строковый тип. Он определяет путь к файлу библиотеки, хранящему название соответствующего каналу стандартного журнала. Вместо названия библиотеки в этом параметре можно указать само название стандартного журнала.

DisplayNameID Значение данного параметра определяет смещение, по которому в файле библиотеки хранится название соответствующего каналу стандартного журнала.

PrimaryModule Данный параметр имеет строковый тип. Он определяет название основного модуля, который управляет работой соответствующего каналу стандартного журнала.

RestrictGuestAccess Если значение данного параметра равно 1, тогда пользователю Гость будет запрещено получать доступ к содержимому соответствующего данному каналу стандартного журнала.

CustomSD Данный параметр имеет строковый тип. Он определяет права доступа пользователей к соответствующему журналу.

К журналам событий могут относиться три права доступа.

• 1. Право на чтение.
• 2. Право на запись.
• 4. Право на очистку.

Настройка записей

Программы и компоненты, которым разрешено выполнять создание записей в стандартных журналах, определенных в подразделах Application, Security и System, хранятся в виде подразделов ветви реестра вида HKLM\SYSTEM\CurrentControlSet\services\eventlog\«Application, Security или System».

Каждый подраздел данной ветви определяет название одного компонента операционной системы, которому разрешена запись в соответствующий канал.

Службы Windows

Механизм работы стандартных журналов операционной системы основан на нескольких службах.

Служба Журналы и оповещения производительности

Тип запуска: вручную.
Учетная запись: локальная служба.
Дополнительные привилегии: SEIMPERSONATEPRIVILEGE.
Файлы службы: pla.dll.
Исполняемый файл: svchost.exe -k LocalServiceNoNetwork.
Подраздел реестра: pla.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RPCSS).

Данная служба выполняет сбор и хранение данных производительности компьютера, а также управляет отправкой оповещений от локального компьютера и других компьютеров сети администратору.

Служба Сборщик событий Windows

Тип запуска: вручную.
Учетная запись: сетевая служба.
Дополнительные привилегии: SEAUDITPRIVILEGE, SECHANGENOTIFYPRIVILEGE, SEIMPERSONATEPRIVILEGE.
Файлы службы: wecsvc.dll.
Исполняемый файл: svchost.exe -k NetworkService.
Подраздел реестра: Wecsvc.
Службы, необходимые для работы данной: нет.

Данная служба выполняет сбор сведений от программ и оборудования локального компьютера, и других компьютеров сети. Именно на основе данной службы реализован механизм подписки на события, доступный при помощи оснастки ПРОСМОТР СОБЫТИЙ.

Параметры реестра REG_DWORD типа, влияющие на работу всех подписок на службу СБОРЩИК СОБЫТИЙ WINDOWS, содержатся в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Globals.

RetryInterval Значение данного параметра определяет интервал выполнения попыток получения сведений о возникшем событии, на которое была назначена подписка.

RetryCount Значение данного параметра определяет максимальное количество повторных попыток получения сведений о возникшем событии, на которое была назначена подписка.

Настройки отдельной подписки на данную службу хранятся в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Subscriptions\«название подписки». Данная ветвь реестра может содержать в себе следующие параметры строкового типа.

Enabled Данный параметр имеет тип REG_DWORD. Если значение данного параметра равно 0, тогда сбор событий на основе данной подписки не выполняется.

ConfigurationMode Данный параметр определяет режим оптимизации, используемый подпиской. Он может принимать следующие значения: Normal, Custom, MinBandwidth, MinLatency.

Существует несколько режимов оптимизации: НАСТРАИВАЕМАЯ, УМЕНЬШЕННАЯ ПРОПУСКНАЯ СПОСОБНОСТЬ, УМЕНЬШЕННАЯ ЗАДЕРЖКА и ОБЫЧНАЯ. Настройки их работы расположены в параметрах REG_DWORD типа, расположенных, соответственно, в подразделах Custom, MinBandwidth, MinLatency и Normal ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ConfigurationModes.

• DeliveryMode. Данный параметр имеет строковый тип. Он определяет инициатора доставки событий и может принимать следующие значения: push (используется режимами оптимизации УМЕНЬШЕННАЯ ПРОПУСКНАЯ СПОСОБНОСТЬ и УМЕНЬШЕННАЯ ЗАДЕРЖКА) и pull (используется режимами оптимизации НАСТРАИВАЕМАЯ и ОБЫЧНАЯ).
• HeartBeatInterval. Значение данного параметра определяет интервал, с которым служба проверяет проверки возникновение событий на удаленном компьютере.

  Значение данного параметра равно 3600000, 21600000, 3600000, и 900000, соответственно, для режимов оптимизации НАСТРАИВАЕМАЯ, УМЕНЬШЕННАЯ ПРОПУСКНАЯ СПОСОБНОСТЬ, УМЕНЬШЕННАЯ ЗАДЕРЖКА и ОБЫЧНАЯ.

• MaxItems. Значение данного параметра определяет максимальное количество событий в наборе событий данной подписки.

  Для режима ОБЫЧНАЯ значение данного параметра равно 5, а для остальных режимов — 20.

• MaxLatencyTime. Значение данного параметра определяет интервал, в течение которого служба будет ожидать возникновение события на удаленном компьютере.
• Значение данного параметра равно 900000, 21600000, 30000, и 900000, соответственно, для режимов оптимизации НАСТРАИВАЕМАЯ, УМЕНЬШЕННАЯ ПРОПУСКНАЯ СПОСОБНОСТЬ, УМЕНЬШЕННАЯ ЗАДЕРЖКА и ОБЫЧНАЯ.

Query Данный параметр определяет запрос подписки, на основе которого определяются события, за возникновением которых должна следить служба СБОРЩИК СОБЫТИЙ WINDOWS.

TransportName Данный параметр определяет протокол, используемый для транспортировки событий, за возникновением которых должна следить служба СБОРЩИК СОБЫТИЙ WINDOWS. По умолчанию используется протокол HTTP. Также можно использовать протокол HTTPS.

TransportPort Данный параметр определяет порт, используемый для транспортировки событий, за возникновением которых должна следить служба СБОРЩИК СОБЫТИЙ WINDOWS.

DeliveryMode Аналогично параметру подраздела ConfigurationModes.

MaxItems Аналогично параметру подраздела ConfigurationModes.

MaxLatencyTime Аналогично параметру подраздела ConfigurationModes.

HeartBeatInterval Аналогично параметру подраздела ConfigurationModes.

CommonUserName Данный параметр определяет имя пользователя, от имени которого будет выполняться подключение к удаленному компьютеру для слежения за возникающими событиями.

CredentialType Данный параметр определяет тип аутентификации пользователя на удаленном компьютере. По умолчанию значение данного параметра равно Default.

Служба Журнал событий Windows

Тип запуска: автоматически.
Учетная запись: локальная служба.
Дополнительные привилегии: SECHANGENOTIFYPRIVILEGE и SEIMPERSONATEPRIVILEGE.
Файлы службы: wevtsvc.dll.
Исполняемый файл: svchost.exe -k LocalServiceNetworkRestricted.
Подраздел реестра: Eventlog.
Службы, необходимые для работы данной: нет.

Данная служба управляет работой стандартных системных журналов, доступ к которым можно получить при помощи оснастки ПРОСМОТР СОБЫТИЙ.

Продолжение следует