Как найти событие в журнале событий

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

   

   eventvwr — команда для вызова журнала событий

3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

   

   Просмотр событий

Вариант 2

1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

   

   Система и безопасность

2. далее необходимо перейти в раздел «Администрирование»;

   

   Администрирование

3. после кликнуть мышкой по ярлыку «Просмотр событий».

   

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

❷

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

   

   Открываем службы — services.msc (универсальный способ)

2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

   

   Службы — журналы событий

3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

   

   Отключена — остановить

*

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

Очень высока вероятность того, что в какой-то момент вы столкнулись с ошибкой на своем ПК. Вы, наверное, раз или два видели печально известный «синий экран смерти» или какую-то другую проблему. Хотя это может быть неизвестно большинству людей, в Windows 11 есть инструмент, который позволяет вам узнать больше об этих ошибках, который называется «Просмотр событий».

Средство просмотра событий существует во многих версиях Windows и в основном работает так же, как и в прошлом. Он регистрирует все виды событий, связанных с вашим ПК с Windows, а не только ошибки. Основная причина, по которой вы захотите его использовать, — найти информацию о проблемах, с которыми вы сталкиваетесь.

Тем не менее, использование средства просмотра событий может показаться запутанным, если вы относительно новичок в этом, поэтому мы здесь, чтобы помочь с этим. Хотя мы не будем углубляться в конкретные ошибки, эта статья даст вам обзор того, как использовать средство просмотра событий для поиска ошибок и других событий на вашем ПК с Windows 11.

Самый простой способ открыть средство просмотра событий в Windows 11 — найти его в меню «Пуск». Просто откройте Пуск и введите Просмотрщик событий в строку поиска. Это должен быть первый результат.

При первом запуске средства просмотра событий вы увидите сводку последних событий на своем ПК. Он включает в себя все события, зарегистрированные за последнюю неделю, а также разбивает события за последние 24 часа и последний час, что упрощает понимание того, когда могла возникнуть проблема. Вы также увидите дерево навигации в левой части окна вместе с Действия панель с правой стороны.

Как вы можете видеть выше, существует четыре основных типа событий, которые отслеживает программа просмотра событий: Критический, Ошибка, Предупреждениеи Информация. Информационные события являются наиболее распространенными, поскольку они появляются всякий раз, когда все работает должным образом. Предупреждающие события также не представляют особого интереса, поскольку они не обязательно связаны с какими-либо серьезными проблемами.

События ошибок более интересны, поскольку они могут указывать на более серьезную проблему, но они также могут возникать, когда все работает нормально. Вы не должны воспринимать эти цифры как гарантию того, что что-то постоянно не так. Это может быть что-то столь же простое, как служба, которая не запускается с первой попытки, но все равно запускается позже. Критические события — это ошибки, которые приводят к сбою компьютера, и, вероятно, именно их вы будете искать чаще всего. Если вы продолжаете сталкиваться с синим экраном смерти, это происходит из-за ошибки, которая попадает в эту категорию.

Хотя это резюме полезно, ваше внимание, вероятно, будет сосредоточено на Журналы Windows папку на панели навигации слева. Если вы развернете его, вы увидите пять разных журналов, и наиболее важными для вас будут Система и Приложение журналы, которые относятся к самой Windows 11 и установленным приложениям. Безопасность log отслеживает все виды событий безопасности, включая попытки входа в систему, в то время как Настраивать log включает события, связанные с обновлениями.

Вы можете щелкнуть любой из этих журналов, чтобы просмотреть все события в журнале, и большинство из них, вероятно, будут иметь Информация тип. Если вы обнаружите ошибку или предупреждение, о которых хотите узнать больше, вы можете щелкнуть по нему, и соответствующая информация появится в нижней части окна. Вы также можете дважды щелкнуть событие, чтобы увидеть эту информацию в отдельном окне.

Панель/окно свойств события включает описание ошибки, которое должно содержать достаточно информации, чтобы вы знали, что не так и как это исправить, если это необходимо. Вы также можете посмотреть идентификатор события, который вы можете использовать, чтобы найти больше информации о проблеме в Интернете. В некоторых случаях само описание включает код ошибки, что хорошо, если вы хотите найти его в Интернете.

Поиск определенных событий в средстве просмотра событий

Если вы хотите найти конкретное событие в своем журнале, предполагая, что у вас уже есть представление о том, что искать, средство просмотра событий также может помочь вам в этом. Могут помочь два основных инструмента поиска, один из которых является более простым, а другой предоставляет более расширенные возможности.

Найти (базовый поиск)

Более простой инструмент называется Находить, и вы можете использовать его, чтобы найти событие, выполнив поиск термина в любом из полей, связанных с ним. Вы можете выполнить поиск службы, которая создала событие, категорию задачи или идентификатор события. Вот как это сделать:

1. Открыть Просмотрщик событий.
2. Развернуть Журналы Windows папка (вы также можете использовать пользовательские представления, о которых мы поговорим позже).
   
3. Выберите журнал, в котором вы хотите выполнить поиск, например Система.
4. Нажмите Находить в Действия панель в правой части окна.
   • Либо щелкните правой кнопкой мыши журнал и выберите Находить в контекстном меню
     
5. Введите ключевое слово, идентификатор события или другой поисковый запрос в текстовое поле и нажмите Найти следующее.
   
6. Средство просмотра событий выделяет события, соответствующие ключевому слову, и вы можете просматривать их по одному.

Этот более простой поиск может помочь вам найти конкретное событие, но он несколько ограничен, поскольку вы можете видеть только один результат за раз, а другие несвязанные события по-прежнему видны. Вот где появляются инструменты расширенного поиска.

Журналы фильтрации (расширенный поиск)

Если вы хотите найти все события, соответствующие определенному набору критериев, лучше всего использовать параметры фильтрации журнала в средстве просмотра событий. Эта функция предоставляет дополнительные способы поиска событий, которые вы ищете. Вот как это сделать:

1. Открыть Просмотрщик событий и перейдите к журналу, который вы хотите найти (как описано в шагах 1–3 выше).
2. в Действия панель, нажмите Фильтровать текущий журнал.
   
3. Здесь вы можете фильтровать события по нескольким критериям. Во-первых, вам нужно выбрать уровни событий, которые вы хотите видеть, например Критический, Ошибка, Предупреждениеили Информация типы событий.
   
4. Зарегистрировано поле вверху позволяет вам выбрать, когда произошло событие, поэтому, если вы знаете, что конкретная ошибка произошла недавно, вы можете отфильтровать ее, например, за последний час.
5. Источник события фильтр (необязательно) позволяет выбрать службу или приложение, создавшее искомое событие.
   
6. Вы также можете ввести Идентификатор события если вы знаете более конкретно, какое событие вы ищете.
7. Наконец, Ключевые слова Поле содержит список общих ключевых слов, которые вы, возможно, ищете.
8. После применения фильтров нажмите ХОРОШО.
9. Теперь вы можете отсортировать все ошибки, соответствующие вашим критериям, и просмотреть более подробную информацию о них.

Это должно значительно упростить поиск определенных ошибок в Windows 11, учитывая, что существуют тысячи событий, которые не всегда актуальны.

Создание пользовательского представления в средстве просмотра событий

Если журналы по умолчанию, предоставляемые средством просмотра событий, слишком загромождены или не уточнены для вашего использования, вы также можете создать собственные представления. Это особенно полезно для обычных пользователей, которые часто ищут определенные события, которые теперь могут быть хорошо организованы в журналах по умолчанию. Пользовательские представления работают аналогично фильтрам, за исключением того, что они доступны постоянно. Вот как создать собственное представление:

1. Открыть Просмотрщик событий.
2. На левой панели щелкните Пользовательские представления.
3. Выбирать Создать собственное представление из Действия панель в правой части окна.
   
4. Зарегистрировано Поле работает, как мы объяснили выше, так что вы можете фильтровать события по дате. Вы также можете выбрать те же уровни событий, что и раньше.
5. Здесь вы можете выбрать, хотите ли вы фильтровать результаты по журналу или по источнику.
   • По журналу позволяет выбрать один или несколько журналов, в которых происходят события, например Система и Приложения.
   • По источнику позволяет вам выбрать службу или приложение, которые создали события, которые вы хотите отфильтровать.
     
6. После того, как вы выбрали поле выше, остальные поля работают аналогично обычным фильтрам. Вы можете выбрать Идентификатор событияа Категория задачии Ключевые словаесли вы знаете, какие события вы хотите видеть в своем пользовательском представлении.
7. Нажмите ХОРОШО
8. Выберите имя и описание для своего пользовательского представления. Вы также можете выбрать, где хранить настраиваемое представление в дереве навигации, что полезно, если у вас много настраиваемых представлений.
   
9. Нажмите ХОРОШО.
10. Теперь вы увидите свой пользовательский вид в Пользовательские представления папка (или любая другая папка, которую вы решили создать для нее). Просто выберите его на левой панели, чтобы просмотреть события в пользовательском представлении.
    

Как создать резервную копию журналов событий

Если вы не знаете, как расследовать конкретную ошибку, или вам нужна дополнительная помощь, вы можете сохранить журналы событий в файл, которым вы можете поделиться с кем-то, кто может просматривать события с вашего компьютера. Вот как:

1. Открыть Просмотрщик событий.
2. Перейдите к журналу или пользовательскому представлению, которое вы хотите экспортировать.
3. в Действия панели справа выберите Сохранить все события как… (для журналов) или Сохранить все события в пользовательском представлении как…
   
   • Кроме того, вы можете выбрать определенные события вручную, а затем выбрать Сохранить выбранные события.
4. Выберите имя и место для файла и нажмите Сохранять.
5. Затем вы можете отправить этот файл кому-то, кому вы доверяете, чтобы он мог проверить, что может происходить с вашим компьютером.

Как очистить журналы событий

В большинстве случаев нет причин очищать журналы событий, но если вам нужно сэкономить место на диске, вы можете удалить все события в журнале. Мы не обязательно рекомендуем это, но если вы хотите это сделать, вот как:

1. Открой Просмотрщик событий.
2. Развернуть Журналы Windows опция на левой панели.
3. Откройте журнал, который хотите очистить (например, Система) и выберите Очистить журнал в Действия панель.
   
4. Выбирать Прозрачный чтобы удалить все события в журнале, или Сохранить и очистить если вы хотите создать резервную копию событий в отдельный файл перед их удалением.

И это все, что вам нужно знать об использовании средства просмотра событий в Windows 11. Как вы понимаете, в нем много всего, и может быть очень полезно выяснить, что происходит с вашим обычно отличным ПК или ноутбуком. Если вы хотите узнать о других функциях Windows 11, узнайте, как использовать BitLocker или как настроить Windows 11, если вы хотите настроить свой опыт.

Время на прочтение
5 мин

Количество просмотров 60K

Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.

Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.

Журнал событий безопасности (Security Log)

Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.

Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.

Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.

Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.

Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.

Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.

Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.

Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.

Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:

Logon/Logoff

• Logon;
• Logoff;
• Account Lockout;
• Other Logon/Logoff Events.

Account Management

• User Account Management;
• Security Group Management.

Policy Change

• Audit Policy Change;
• Authentication Policy Change;
• Authorization Policy Change.

Системный монитор (Sysmon)

Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.

Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?

Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.

Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.

Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.

Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.

А теперь то, чего в политиках Security Log нет, но есть в Sysmon:

Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.

Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.

Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.

События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\.”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.

Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.

Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.

Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.

Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).

Журналы Power Shell

Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.

Windows PowerShell log

Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.

Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)

Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.

Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.

Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.

Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.