Контроль 14: Ведение, мониторинг и анализ журналов регистрации событий безопасности. Журнал учета нежелательных событий в актуальном состоянии

Активное использование системных журналов | Windows IT Pro/RE

Отслеживание событий — основа безопасности систем

Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (eventvwr.exe). Большинство администраторов открывают Event Viewer, только когда пытаются решить какую-нибудь проблему, и многие знакомые администраторы говорят мне, что используют Event Viewer только на серверах. Оба подхода ошибочны, потому что периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно, поэтому я хочу предложить читателям краткий обзор по этой теме и представить свои способы работы с Event Viewer.

Общие сведения

Event Viewer открывается через меню Administrative Tools (если это меню добавлено в Programs) или через приложение Administrative Tools панели управления. Консоль программы Event Viewer содержит список доступных журналов. На компьютерах Windows по умолчанию имеются следующие журналы:

• Application (журнал приложе-ний) — содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения.
• Security (журнал безопасности) — содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.
• System (журнал системы) — содержит события, записываемые компонентами Windows.

В системах Windows Server 2003 и Windows 2000 Server в зависимости от роли сервера можно также использовать следующие журналы:

• Directory Service — содержит события, имеющие отношение к Active Directory (AD), и доступен только на контроллерах домена (DC).
• File Replication Service — содержит события, записываемые во время репликации между DC, и доступен только на DC.
• DNS Server — содержит события, относящиеся к разрешению имен DNS, и доступен только на серверах DNS.

Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:

• Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов.
• Warning (предупреждение) — указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем.
• Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события.
• Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.

Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло (не обязательно) и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.

Настройка Event Viewer

Системные журналы начинают функционировать автоматически при запуске операционной системы. Размеры журнальных файлов ограничены, и система записывает события, удаляя старые записи в соответствии с выбором параметров журнала. Чтобы просмотреть или изменить конфигурацию, нужно щелкнуть правой кнопкой на имени журнала в списке Event Viewer и выбрать в раскрывающемся меню пункт Properties. Должно появиться соответствующее диалоговое окно свойств, как показано на экране 1.

Экран 1. Настройка размеров и режима перезаписи журнала System

Менять конфигурацию следует в зависимости от ситуации. Если вы не вносите существенных изменений в конфигурацию журнала или не видите необходимости в аудите событий, то работа настроек по умолчанию должна вас устроить. Настройка по умолчанию для максимального размера файла журнала составляет 512 Кбайт, и когда журнал заполнен, система автоматически заменяет старые записи новыми через 7 дней. Однако, если в систему вносятся существенные изменения или вводится в действие подробный аудит, журналы, скорее всего, начнут заполняться многочисленными записями. Если журнал оказывается заполненным и не содержит записей, хранящихся более 7 дней, утилите Event Viewer будет нечего удалить, чтобы освободить место для новых записей, и система прекратит записывать события. В этой ситуации нужно увеличить размер журнального файла или выполнить настройку журнала на затирание старых записей по мере необходимости (вариант Overwrite events — as needed).

Фильтры

Когда администратор исследует журнал, чтобы решить какую-либо проблему, или проверяет реакцию компьютера на существенное изменение конфигурации, он может ускорить этот процесс, избавившись от не имеющих отношения к делу записей в панели Details. Диалоговое окно Properties каждого журнала имеет вкладку Filter, с помощью которой выбираются типы отображаемых событий. Например, вы не хотите видеть информационные записи от определенных компьютеров или вы хотите видеть только события, произошедшие в течение недели после внесения системных изменений. Следует просто нужным образом выбрать фильтры (или отменить выбор). Помните, что фильтры влияют только на то, что отображается в окне; система продолжает записывать в журнал события тех типов, которые были отфильтрованы. Например, если есть основания полагать, что возникла угроза системе безопасности в виде вторжения извне, можно оставить для отображения события только тех типов, быстрый взгляд на которые позволяет обнаружить аномалии в регистрации, такие как события с ID 675 и 681, соответствующие неудачным попыткам аутентификации, или событие с ID 644, означающее блокировку учетной записи вследствие многократного некорректного ввода пароля.

Сортировка журнала

Погружаясь в решение какой-нибудь проблемы, я предпочитаю сортировать журналы, чтобы иметь возможность находить нужные записи непосредственно по типу события, идентификационному номеру (ID) события или по предполагаемому источнику сообщения. Например, я могла бы задаться целью найти событие Userenv, если проблема касается некоторого пользователя, имеющего проблемы с доступом в сети.

Общее событие Userenv имеет ID 1000 в журнале приложений и его описание гласит, что Windows не смогла определить имя пользователя или компьютера. Это означает, что конфигурация TCP/IP компьютера для обращения к DNS-серверу установлена некорректно. Администраторы сплошь и рядом используют неправильные адреса при настройке DNS на клиентских компьютерах; я часто нахожу IP-адрес шлюза в поле для адреса DNS. Проверку журнала компьютера-«обидчика» со своей рабочей станции обычно выполнить проще, чем идти к клиентскому компьютеру и проверять настройки TCP/IP.

Чтобы сосредоточиться на событиях конкретных типов, нужно выбрать подходящий журнал в консоли, раскрыть его содержимое, затем щелкнуть область заголовка столбца, по которому предстоит выполнить сортировку. По умолчанию журналы отсортированы по дате, а затем по времени.

Очистка журнала

Любой журнал можно очистить, чтобы освободить дополнительное место для записей. Если выбрана настройка Do not overwrite events (clear log manually) —«Не затирать события (очистка журнала вручную)», необходимо периодически чистить журнал.

Чтобы очистить журнал, следует щелкнуть правой кнопкой на названии журнала в списке консоли Event Viewer и выбрать пункт Clear all Events («Стереть все события»). Система спрашивает, нужно ли сохранить журнал перед тем, как очистить его. Если в журнале есть записи, которые могли бы пригодиться в будущем (например, при длительном отслеживании проблемы), можно выполнить архивацию содержимого журнала.

Архивация журнала

Любой журнал можно заархивировать как отдельный файл — это полезно, если в журнале появляются необычные записи и требуется понаблюдать некоторое время за изменением его содержимого. Иногда в журналах появляются события, которые выглядят угрожающе, но пользователь не ощущает никаких проблем. Если проблемы возникнут позже, сотрудникам службы поддержки Microsoft, возможно, будет полезно изучить историю этого события.

Чтобы создать архивную копию журнала, нужно щелкнуть правой кнопкой мыши по названию журнала в консоли и выбрать в меню Save Log File As («Сохранить файл журнала как...»). По умолчанию Windows сохраняет файл в папке Administrative Tools, расположенной в папке C:documentssettingsusernamestart menuprograms. Можно указать другую папку или создать отдельную папку для хранения архивных копий журналов. Я обычно присваиваю журналам имя в формате имя_журнала-дата (например, apps-dec012003). Windows добавляет расширение .evt.

Архивные копии журналов являются отдельными файлами на жестком диске, но открывать их можно только через программу просмотра событий Event Viewer. Для этого следует выбрать пункт Open Log File («Открыть файл журнала») в меню Action (или щелкнуть правой кнопкой по любому объекту в консоли и выбрать Open Log File). В диалоговом окне открытия файла требуется выбрать нужный архив, указать тип журнала (т. е. Application, Security) в меню со списком Log Type, затем щелкнуть Open.

Чтобы удалить архив из консоли, следует щелкнуть правой кнопкой по его названию в списке и выбрать Delete. Это действие не удаляет файл с жесткого диска — только из консоли. Удаление архивной копии журнала с жесткого диска выполняется так же, как и удаление любого другого файла.

Просмотр событий на удаленном компьютере

Чтобы облегчить себе задачу, администратор может со своей рабочей станции просматривать журналы удаленных компьютеров, на которых у него есть административные привилегии. На удаленном компьютере должна быть установлена Windows 2003, Windows XP, Windows 2000 Professional, Windows 2000 Server, Windows NT Server или NT Workstation.

На локальной консоли просмотра событий нужно щелкнуть правой кнопкой Event Viewer (Local) и выбрать Connect to another computer («Подключиться к другому компьютеру»). Следует ввести имя удаленного компьютера, с которым предстоит работать, или щелкнуть Browse, чтобы открыть диалоговое окно, показанное на экране 2, затем выбрать компьютер. Кроме того, если имя удаленного компьютера известно, нет необходимости вводить его в виде имени UNC. Вид консоли Event Viewer меняется таким образом, что отображает имя UNC удаленного компьютера. На удаленном компьютере можно производить те же действия, что и на локальном Event Viewer. Чтобы вернуться на локальный компьютер, следует щелкнуть правой кнопкой Event Viewer (имя компьютера), выбрать Connect to another computer, а затем Local computer.

Экран 2. Доступ к удаленному компьютеру из Event Viewer

Что искать при просмотре событий

Большинство реальных и потенциальных проблем проявляют себя посредством записи событий в тот или иной журнал. Когда вы видите запись с пометкой Error или Warning, будьте внимательны. Поищите информацию об этом событии в Microsoft Knowledge Base или на Web-сайте Windows & .NET Magazine. Если медлить с просмотром журналов, вы упустите возможность предотвратить проблему. Приведу пример. Во время периодических просмотров журналов на всех компьютерах своей сети я обнаруживаю запись в системном журнале, которая показана на экране 3. Никаких видимых признаков неполадок на компьютере не было.

Экран 3. Обнаружение надвигающегося сбоя в Event Viewer

Я быстро выполняю резервное копирование данных компьютера и запускаю программу Chkdsk, которая перемещает файлы (это были системные файлы) из испорченной области и помечает ее как испорченную, чтобы предотвратить дальнейшую запись в эту часть диска. Затем я начинаю ежедневно проверять системный журнал в течение нескольких недель и, только убедившись, что никаких новых сообщений об ошибках не появляется, возвращаюсь к еженедельному просмотру Event Viewer. Увидев дополнительные сообщения об ошибках, я бы заменила диск. Если бы я периодически не проверяла журналы компьютера, диск мог бы продолжать разваливаться и резервное копирование оказалось бы бесполезным из-за порчи файлов.

Кстати, когда я проверяю Event Viewer, я выполняю сортировку событий по типу и сначала просматриваю сообщения об ошибках, а затем предупреждения. В этот раз я также обнаружила предупреждение, датированное днем раньше, чем появилось сообщение об ошибке, и в этом предупреждении говорилось, что при записи в файл подкачки Windows обнаружила ошибку на диске. Если бы я проверила системный журнал днем раньше, я бы, возможно, нашла меньшее количество испорченных фрагментов для исправления программой Chkdsk.

Следует также просматривать все события в журнале безопасности. Этот журнал будет оставаться пустым до тех пор, пока вы не установите аудит событий безопасности. Если аудит событий безопасности установлен, ищите значительные события в зависимости от настроек аудита. Журнал безопасности — единственный журнал в Event Viewer, для просмотра которого необходимы административные полномочия. Более подробную информацию об аудите событий безопасности можно найти в статье «Мониторинг событий безопасности» (Windows & .NET Magazine/RE, №7 за 2003 год, и на Web-странице http://www.osp.ru/win2000/2003/07/019.htm).

Как остановить запись нежелательных событий

По умолчанию Windows настраивает компьютеры как принт-серверы, которые записывают все события, относящиеся к печати на принтерах. Кроме того, системный журнал компьютера делает информационные записи при каждой отправке документа на принтер и повторно — когда файл спулера удален после выполнения задания на печать.

Для меня события, относящиеся к печати на принтерах, не имеют значения, но некоторые администраторы хотят знать, были ли ошибки в работе с принтерами и если были, то когда; возможна также запись уведомлений, когда кто-то добавляет или удаляет принтер. Сомневаюсь, что администраторы убеждены в необходимости пополнять журнал уведомлений каждый раз, когда задание на печать отправляется спулеру, а потом удаляется.

Можно изменить выбор событий печати, записываемых в системный журнал, в папке Printers компьютера (в Windows 2003 и XP она называется Printers and Faxes). Выберите File, Server Properties и перейдите на вкладку Advanced, показанную на экране 4. Можно просто отменить выбор событий, которые вы не хотите регистрировать в журнале.

Экран 4. Выбор событий печати, записываемых в журнал System

Возьмите за правило

Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель. Хотя на первый взгляд может показаться, что эта задача очень трудоемкая, устранение серьезной проблемы отнимает намного больше времени и сил, чем проверка журналов для получения дополнительной информации о текущих неполадках.

Кэти Ивенс ([email protected]) — редактор Windows & .NET Magazine. Является соавтором более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference»

www.osp.ru

Контроль 14 | Информационная безопасность

Отсутствие ведения журналов безопасности и их анализа позволяет нарушителям скрывать свое расположение, вредоносное ПО, используемое для удаленного управления, и деятельность на машинах-жертвах. Даже если жертвам известно, что их системы скомпрометированы, без защищенных и полных записей журналов регистрации событий они не имеют информации об атаке и последующих действиях, предпринимаемых нарушителями. Без реальных журналов аудита атака может незаметно проводиться неограниченно долго и наносимый ущерб может быть невосполнимым.

Иногда записи журналов регистрации событий – единственное свидетельство реализации успешной атаки. Многие организации сохраняют записи аудита в целях удовлетворения нормативным требованиям, а нарушители надеются на то, что журналы аудита редко просматриваются, а значит, компрометация систем остается незамеченной.

Из-за плохого процесса анализа журналов регистрации событий или вообще его отсутствия, нарушители иногда могут контролировать машину-жертву месяцами или годами, оставаясь незамеченными никем в организации, даже когда признаки атаки присутствуют в непросматриваемых файлах журнала регистрации событий.

 

Реализация, автоматизация и оценка эффективности Контроля 14

1. Быстрые победы. Следует проверять настройки журналов аудита для каждого аппаратного устройства и установленного на нем ПО, удостовериться, что в журналах регистрируется дата, временная отметка, адреса источника и назначения и другие полезные элементы каждого пакета и/или транзакции. Системы должны вести записи в журналах в стандартизированном формате, например, записи syslog или рекомендованные документом Общепринятые сообщения о событиях Common Event Expression (СЕЕ). При невозможности генерации системами журналов регистрации событий записей в стандартном формате можно использовать средства нормализации журналов, которые могут устанавливаться для преобразования журналов в стандартный формат.

2. Быстрые победы. В системах, в которых хранятся журналы учета событий, обеспечьте достаточный объем области памяти для постоянно генерируемых журналов, такой, чтобы не происходило переполнение файлов журнала в интервалах периодического повторения журналов. Журналы должны периодически архивироваться и подписываться цифровой подписью.

3. Быстрые победы. Весь удаленный доступ к сети, как к демилитаризованной зоне, так и ко внутренней сети (например, с помощью VPN, коммутируемого доступа или другого механизма) подлежит подробной регистрации.

4. Быстрые победы. Операционные системы должны быть настроены для регистрации событий управления доступом, связанных с попытками пользователей получить доступ к ресурсу (например, файлу или папке) без соответствующего разрешения. Неудачные попытки входа в систему также должны регистрироваться.

5. Быстрые победы. Персонал безопасности и/или системные администраторы раз в две недели должны формировать отчеты об аномалиях в журналах регистрации событий. Ими должен проводиться активный анализ аномалий с документированием выводов.

6. Прозрачность/Аттрибуция. В организации должно существовать как минимум два синхронизированных датчика времени (например, Network Time Protocol – NTP)), от которых все серверы и сетевое оборудование систематически запрашивают информацию о времени для согласования временных меток.

7. Прозрачность/Аттрибуция. Устройства сетевого интерфейса, включающие МСЭ, сетевые системы предотвращения вторжений, входящие и исходящие прокси, должны быть сконфигурированы для подробной регистрации всего трафика (как разрешенного, так и блокированного), поступающего на устройство.

8. Прозрачность/Аттрибуция. Для всех серверов следует обеспечить запись журналов регистрации событий в устройства только для записи или на выделенные серверы журналов учета событий, функционирующие на машинах, отдельных от хостов, генерирующих журналы регистрации событий, для уменьшения возможности манипуляции нарушителем журналами, хранящимися локально на контролируемых машинах.

9. Прозрачность/Аттрибуция. Следует установить инструмент системы SIEM для объединения и согласования журналов с большого числа машин, а также для соотнесения и анализа их информации. Должны устанавливаться и отслеживаться стандартные сценарии для анализа журналов, возможно также применение пользовательских локальных скриптов. Используя инструмент SIEM, системные администраторы и персонал безопасности должны разрабатывать профили обычных событий в рассматриваемых системах для того, чтобы настроить обнаружение на необычную деятельность, избегать ложных срабатываний, быстрее идентифицировать аномалии и предотвращать перегрузку аналитиков ложными сигналами тревоги.

 

Процедуры и инструменты для реализации и автоматизации этого средства управления

Большинство бесплатных и коммерческих операционных систем, сетевых сервисов и технологий экранирования предлагают функции регистрации информации. Эти функции следует активировать с указанием передачи журналов на централизованный сервер журналов учета событий. МСЭ, прокси и системы удаленного доступа (VPN, коммутируемый доступ и т.д.) должны все быть сконфигурированы для подробной регистрации, сохраняя всю информацию, доступную для регистрации в событии для последующего  исследования. В дальнейшем операционные системы, в особенности установленные на серверах, должны быть сконфигурированы на создание записей управления доступом при попытках пользователя получить доступ к ресурсам без соответствующих прав. Для оценки наличия регистрации событий, следует периодически просматривать журналы и сравнивать их с реестром ресурсов, созданным в Критичном Контроле 1, для гарантии того, что каждая управляемая единица, активно подключенная к сети, периодически генерирует журналы регистрации событий.

Полезны программы анализа журналов регистрации событий, такие как SIEM, имеющие довольно широкие возможности по анализу журналов аудита, включая беглый просмотр. Инструменты автоматической обработки могут сделать журналы аудита намного более полезными для последующей ручной прокрутки. Такие средства достаточно эффективны при идентификации скрытых атак. Однако, эти инструменты не являются ни панацеей ни заменой квалифицированного персонала информационной безопасности и системных администраторов. Даже с автоматическими средствами анализа журналов зачастую требуются человеческий опыт и интуиция для идентификации и понимания атак.

 

Метрика Контроля 14

Система должны быть способна вести учет всех событий в сети. Регистрация событий должна действовать во всех сетевых и централизованных системах. Любое событие должно генерировать запись в журнале, включающую дату, временную метку, адрес источника, адрес назначения и другие детали пакета. Любая деятельность в сети немедленно должна регистрироваться во всех задействованных устройствах. При невозможности генерации записи в журнале (из-за поломки сервера журналов или по другой причине), устройство должно генерировать сигнал тревоги или эл.сообщение для административного персонала организации в течение 24 часов.  Текущая метрика составляет 24 часа, однако, для улучшения состояния системы безопасности в будущем организации должны стремиться к более скорой генерации сигналов – желательно, чтобы уведомление об отказе регистрации события высылалось через 2 минуты

 

Тестирование Контроля 14

Для периодической оценки реализации Контроля 14 группа оценки должна просматривать журналы безопасности разных сетевых устройств, серверов и хостов. Должны тестироваться как минимум следующие устройства: два маршрутизатора, два МСЭ, два коммутатора, 10 серверов и 10 клиентских систем. Группа тестирования должна использовать средства генерации трафика для передачи пакетов через анализируемые системы для подтверждения того, что трафик регистрируется. Этот анализ проводится созданием управляемых невредоносных событий и определением правильности записываемой в журналы информации (содержащей дату, временную метку, адреса источника и назначения и другие детали пакета). Группа оценки должна удостовериться, что система генерирует журналы аудита, в ином случае генерируется сигнал тревоги или эл.уведомление об отказе регистрации в течение 24 часов. Важно, чтобы группой оценки было проверено, что обнаруживается любая активность в сети. Группа оценки должна убедиться, что система предоставляет информацию о расположении каждой машины, включая информацию о владельце ресурса.

 

Сенсоры, оценка и результат для Контроля 14

Сенсор: NTP Network Time Protocol

Оценка: Убедитесь, что для синхронизации времени для всех устройств используется NTP и что все часы синхронны.

Результат: Соответствует / Не соответствует.

Сенсор: Сканер уязвимостей

Оценка: Запустите сканер уязвимостей на случайно выбранных серверах, используя неагрессивное сканирование. Определите, появляется ли информация в журналах.

Результат: Соответствует / Не соответствует.

Сенсор: SIEM

Оценка: Соотнесите журналы с центральным источником и определите, все ли серверы правильно регистрируют события.

Результат: 100 %, если все системы правильно регистрируют события. Минус 5% за каждую систему без регистрации.

 

Контроль 14: Диаграмма системы межобъектных отношений (System Entity RelationshipDiagram):

По диаграмме межобъектных отношений, определенных в данном контроле, будет легче определить, как его реализовать, протестировать управления, и определить, где могут произойти потенциальные сбои в системе.

Система управления представляет собой устройство или набор устройств, используемых для управления другими устройствами или системами. В данном случае, мы рассматриваем журналы аудита, централизованную систему баз данных журналов, систему синхронизации времени, и анализ и журналов. Ниже приведен перечень шагов представленных в диаграмме, показывающие как объекты работают вместе для достижения бизнес-целей, определенных в данном элементе управления (контроле). Список также помогает идентифицировать каждый из этапов процесса для того, чтобы помочь выявить потенциальные точки сбоя.

Шаг 1: Производственные системы генерируют журналы и отправляют их в централизованно управляемую систему баз данных журналов

Шаг 2: Производственные системы и система баз данных журналов синхронизируются по времени с центральными системами управления временем

Шаг 3: Журналы анализируются системой анализа журналов SIEM

Шаг 4: Аналитики журналов изучают данные, полученные из SIEM

itsec.by

Роль менеджмента качества в организации расследования и учета нежелательных поствакцинальных явлений

Особенностью вакцинных препаратов является возникновение нежелательных явлений в по-

ствакцинальном периоде. Существующая в Российской Федерации система регистрации и рас-

следования нежелательных реакций после вакцинации требует актуализации и гармонизации

с требованиями ВОЗ. С целью оптимизации работы по регистрации, расследованию нежела-

тельных поствакцинальных явлений в Республике Татарстан разработана система менеджмента

качества по направлению вакцинопрофилактики. Основной задачей системы менеджмента ка-

чества является разработка стандартных операционных процедур по различным направлениям

вакцинопрофилактики. Внедрение СОПов позволило унифицировать процедуры иммунизации,

а также дало возможность медицинским организациям проводить аккредитацию своей дея-

тельности по международным стандартам.

1. WHO, UNICEF, World Bank. State of the world’s vaccines and immunization,

3rd ed. Geneva: World Health Organization; 2009.

2. Охват иммунизацией. Информационный бюллетень ВОЗ. Женева. 2014.

№ 378. — URL: http://www.who.int/mediacentre/ factsheets/fs378/ru.

3. Методические указания МУ 3.3.1.1123-02 Вакцинопрофилактика. Монито-

ринг поствакцинальных осложнений их профилактика. Москва: Федеральный

центр госсанэпиднадзора Минздрава РФ, 2002.

4. Шайхутдинова Л.Н., Абдуразакова Н.Г. Механизм контроля за реализа-

цией Федерального закона «Об иммунопрофилактике инфекционных болез-

ней». Вестник Росздравнадзора. 2009; 2: 59-61.

5. Шамшева О.В. Поствакцинальные реакции и методы и предупреждения.

Практика педиатра. 2011. № 3. С. 46-50.

6. Брико Н.И., Намазова-Баранова Л.С., Лобзин Ю.В., Харит С.М.,

Начарова Е.П., Фельдблюм И.В. Совершенствование мониторинга неблаго-

приятных событий поствакцинального периода (в порядке дискуссии). Эпиде-

миология и вакцинопрофилактика. 2016. № 6 (91). С. 95-101.

7. Фельдблюм И.В. Эпидемиологический надзор за вакцинопрофилактикой.

Эпидемиология. 2014. № 3 (13). С. 37-55.

8. Медуницин Н.В. Вакцинология. М.: Триада-Х, 2004.

9. Харит С.М., Черняева Т.В., Лакоткина Е.А. Структура заболеваний поствак-

цинального периода (анализ наблюдений за 40 лет). Эпидемиология и вакци-

нопрофилактика. 2010. № 51 (2). С. 64-69.

10. Chen R.T. et al. Obstetrical and neonatal case definitions for immunization

safety data. Vaccine. 2016. Vol. 49. № 1. P. 5991-5992.

D.V. Lopushov, I.M. Fazulzyanova The role of quality management in the organization of investigation and registration of unfavourable post-vaccine outcomes. Medicinskij al'manah 2017; (4): 91–93, http://dx.doi.org/10.21145/2499-9954-2017-4-91-93

www.medalmanac.ru

журнал учёта событий - это... Что такое журнал учёта событий?

 журнал учёта событий

 

журнал учёта событий (напр. на ТЭС, АЭС) [А.С.Гольдберг. Англо-русский энергетический словарь. 2006 г.]

Тематики

• энергетика в целом

Справочник технического переводчика. – Интент. 2009-2013.

• журнал учёта ремонтных работ
• журнал учёта текущего ремонта

Смотреть что такое "журнал учёта событий" в других словарях:

• журнал регистрации сетевых событий — аудиторское заключение — [Л.Г.Суменко. Англо русский словарь по информационным технологиям. М.: ГП ЦНИИС, 2003.] Тематики информационные технологии в целом Синонимы аудиторское заключение EN audit trail …   Справочник технического переводчика

• Журнал событий — англ. Event Log в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных… …   Википедия

• журнал — журнал: Периодическое журнальное издание, имеющее постоянную рубрикацию и содержащее статьи или рефераты по различным вопросам и литературно художественные произведения. Примечание Журнал может иметь приложение. Источник …   Словарь-справочник терминов нормативно-технической документации

• ЖУРНАЛ — (фр.). 1) дневник, поденная запись чего либо. 2) книга, в котор. записываются под номерами содержание входящих и исходящ. бумаг. 3) книга, в котор. ставятся отметки об успехах и поведении учеников. 4) повременное издание, выходящ. не чаще одного… …   Словарь иностранных слов русского языка

• журнал — а, м. journal, > гол. journaal. 1. Книга поденных записей. Сл. 18. || Книга записей военных операций, морских походов, путешествий, научных наблюдений. Сл. 18. Обстоятельное ведение корабельных журналов в России было устанолвено в 1702 г. А. Е …   Исторический словарь галлицизмов русского языка

• ЖУРНАЛ — ЖУРНАЛ, журнала, муж. (франц. journal Дневник, газета). 1. Периодическое издание в виде книжки, содержащей статьи, художественные произведения, иллюстрации. Еженедельный иллюстрированный журнал. Толстые литературные журналы выходят ежемесячно.… …   Толковый словарь Ушакова

• Журнал Здравоохранение — Специализация: здравоохранение, медицина Периодичность: один раз в месяц Язык …   Википедия

• журнал Европейского ядерного общества с обзором мировых событий — — [А.С.Гольдберг. Англо русский энергетический словарь. 2006 г.] Тематики энергетика в целом EN Nuclear Europe WorldscanNEW …   Справочник технического переводчика

• журнал регистрации событий — [Интент] Тематики автоматизация, основные понятия EN event log …   Справочник технического переводчика

• журнал регистрации событий на подстанции — Журнальная запись хронологически упорядоченных данных о событиях на подстанции. [ГОСТ Р 54325 2011 (IEC/TS 61850 2:2003)] EN log record (journal), of chronologically ordered data for example events with time tags and annotations [IEC 61850 2, ed …   Справочник технического переводчика

technical_translator_dictionary.academic.ru

9.1. Анализ журналов регистрации событий

Журналы регистрации событий обязательно должны просматриваться и анализироваться. Это можно делать как вручную, так и с помощью автоматизированных средств. Если компания просматривает журналы вручную, необходимо систематизировать эту деятельность – что, как, когда и почему подлежит анализу. Обычно журналы регистрации событий становятся крайне востребованными после инцидента безопасности, непонятной работы системы или сбоя системы. Администратор или другой ответственный персонал пытается по-быстрому сопоставить различные действия, которые привели к этому инциденту. Такой тип анализа журналов регистрации событий называется ориентированным на события (event-oriented). Кроме того, журналы могут просматриваться на периодической основе, чтобы выявить необычное поведение пользователей и систем, а также убедиться в исправной работе системы. При этом перед администраторами должна быть поставлена соответствующая задача периодического просмотра журналов. Для контроля журналов в режиме реального времени (или близко к этому) существуют специальные автоматизированные средства. Данные журналов регистрации событий обычно должны анализироваться, а затем сохраняться в отдельное место для хранения в течение определенного периода времени. Это должно быть отражено в политике и процедурах безопасности компании. Анализ журналов регистрации событий вручную крайне трудоемок. Следует использовать для этого специализированные приложения и инструменты анализа, которые сокращают объем журналов и повышают эффективность ручных процедур анализа. Основное время при анализе журналов регистрации событий тратится на несущественную информацию, а эти инструменты позволяют выбирать необходимую информацию по заданным критериям и представлять ее в более наглядной и удобной форме. Существует три основных типа инструментов анализа журналов регистрации событий:

• Инструменты для уменьшения объема журналов (audit-reduction tool) отбрасывают обычные события работы программ и пользователей, записи счетчиков производительности системы, оставляя только те события, которые могут быть интересны специалистам по безопасности и администраторам

• Инструменты для выявления нарушений (variance-detection tool) отслеживают использование компьютера или ресурса, фиксируя стандартную картину, а затем выявляют отклонения от нее. Например, обычно использование ресурса происходит с 8:00 до 17:00 по рабочим дням. Факт использования этого ресурса ночью в выходной день является поводом отправки предупреждения администратору.

• Инструменты выявления сигнатур атак (attack signature-detection tool) имеют специализированную базу данных, содержащую информацию о событиях, которые могут указывать на определенные атаки (сигнатуры атак). В журналах отыскиваются последовательности событий, соответствующие сигнатурам атак.

9.2. Мониторинг нажатия клавиш

Мониторинг нажатия клавиш (keystroke monitoring) – это вид мониторинга, позволяющий проанализировать и записать последовательность нажатий клавиш пользователем в течение сеанса его работы. При этом все символы, набранные пользователем, записываются в специальный журнал, который может быть позднее проверен. Обычно такой тип аудита используется только для выполнения специальных задач и только на короткое время, поскольку объем собранной информации будет огромен, а ее значительная часть будет неважной. Если специалист по безопасности или администратор подозревают пользователя в проведении несанкционированных действий, они могут воспользоваться этим видом мониторинга. На некоторых санкционированных этапах проведения расследования между клавиатурой и компьютером может быть вставлено специальное устройство, перехватывающее все нажатия клавиш, включая набор пароля для загрузки системы (на уровне BIOS). Хакеры также могут использовать такой вид мониторинга. Если атакующий сможет установить троянскую программу на компьютер, она cможет внедрить специальную утилиту перехвата данных, вводимых с клавиатуры. Обычно таким программам наиболее интересны учетные данные пользователя, и они могут уведомить атакующего, когда такие данные будут успешно перехвачены. Нужно соблюдать осторожность при проведении такого мониторинга, т.к. это может нарушать законодательство. Следует заранее уведомить сотрудников о возможности такого мониторинга, а также получать разрешение руководства на его проведение. Если компания намерена использовать такой контроль, следует внести информацию об этом в политику безопасности, сообщать об этом на тренингах по вопросам безопасности, уведомить пользователей другими доступными способами о возможности такого мониторинга. Это позволит защитить компанию от претензий в нарушении неприкосновенности частной жизни, а также проинформирует пользователей об ограничениях использования рабочего компьютера в личных целях.

studfiles.net

Отключение ненужных служб в Windows 10. Подробная инструкция.

Привет всем! Когда-то я писал статью, в которой я рассказывал какие службы можно отключить в Win 7, но сейчас уже во всю вышла 10ка и сегодня мы разберемся, какие службы нужно отключить в windows 10.

Какие службы можно отключить в windows 10?

Как отключать службы и как в них зайти, я писал тут, по этому не буду повторяться. Для отключения ненужных служб в Windows 10, заходим в службы, читаем что означает служба и отключаем по ненадобности.

* BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.

*CDPSvc (Connected Device Platform Service) — эта служба относится из серии сбора данных. Она синхронизирует календарь, контакты, почту и другие пользовательские данные. Я рекомендую отключить эту службу в последнюю очередь, чтобы проверить, нужна она вам или нет. Скорее всего вам она понадобится, если вы пользуетесь учетной записью Майкрософт и вам нужна синхронизация с мобильным устройством.

* CoreMessaging — Осуществляет связь между компонентами. Служба спорная очень, т.к. в сети нет информации по ней. Её отключить можно только через реестр и кто отключал, система могла больше не запуститься. По этому пока оставляем.

* DataCollectionPublishingService — Эту штуку вообще лучше отключить. Это связь операционной системы с удаленным облаком. Служба собирает так скажем статистику ваших действий.

* DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.

* dmwappushsvc — Опять сбор сведений, её тоже отключаем. Это клавиатурный шпион. Передает действия ваших клавиш в удаленное облако.

* DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).

* Enterprise App Management Service — служба для корпоративных приложений. Её можно отключить, но если пользуетесь офисом например или приложениями Майкрософта, то нужно экспериментировать. Отключить и смотреть все ли будет хорошо в приложениях.

* KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.

* Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.

* Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.

* Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.

* SMP дисковых пространств — Опять же новая служба из серии неизвестных. Я отключил бы и посмотрел как будет работать. Эта служба позволяет управлять дисковым пространством, но отключив её, я спокойно мог работать с файлами и делить диски.

* Superfetch — Полезная функция, работает с кэшем, ускоряет работу Windows. В этой службе есть 2 стороны, с одной стороны она будет быстрее запускать часто используемые приложения, с другой стороны, оперативки станет меньше. Тут я так же советую протестировать, насколько сильно она повысит быстродействие на вашем компьютере. А пользователям с SSD дисками я посоветую отключить её, т.к. отклик у этих дисков и так сумасшедший.

* WalletService — Опять служба слежки, отключаем.

* Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.

* Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.

* Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!

* Автоматическая настройка сетевых устройств — нужна для обнаружения в сети новых устройств. Если не пользуетесь сетью и интернетом, то можно отключить.

* Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.

* Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.

* Агент политики IPsec — Нужна при наличии сети и интернета.

* Адаптер производительности WMI — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)

* Адаптивная регулировка яркости — Оставляем если есть датчик освещения.

* Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.

* Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.

* Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)

* Браузер компьютера — В домашней сети не нужна. Вручную.

* Брокер времени — Координирует выполнение фоновой работы для приложения WinRT. Отвечает за работу Windows API. По этому если вы не знаете что это, то можете попробовать её отключить, правда отключить её можно только через реестр. Как это сделать есть информация в интернете. У некоторых пользователей эта служба съедает пол ресурсов процессора, но после отключения, обязательно проверьте на стабильность работу компьютера.

* Брокер системных событий — Опять же для приложений WinRT, так же если отключаете проверьте стабильность работы после отключения.

* Брокер фонового обнаружения DevQuery — Следит за приложениями в фоне, лучше оставить.

* Быстрая проверка — При необходимости проверяет повреждение файловой системы. Тоже спорная служба, но лучше оставить.

* Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.

* Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.

* Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.

* Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.

* Готовность приложений — Служба подготавливает приложения к первому входу или же при установке новых. Лучше оставить вручную, когда нужно будет, она сама запустится.

* Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…

* Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.

* Диспетчер локальных сеансов — Управляет сеансом пользователя. Если отключить, система может не загрузится, по этому оставляем.

* Диспетчер настройки устройств — Настраивает и устанавливает новые устройства. Если отключить, то установка новых устройств может происходить неправильно. Служба работает вручную и запускается когда появляется новое устройство. Поэтому оставляем как есть.

* Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.

* Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.

* Диспетчер пользователей — Управляет несколькими пользователями. Если у вас один пользователь, ставьте вручную.

* Диспетчер проверки подлинности Xbox Live — если нет Xbox, то отключаем.

* Диспетчер скачанных карт — Отключайте если не используете приложение «Карты».

* Диспетчер удостоверения сетевых участников — Оставляем вручную, по необходимости запуститься сама.

* Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.

* Диспетчер удостоверения сетевых участников — Нужна для сети. Ставим лучше вручную.

* Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.

* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.

* Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.

* Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.

* Журналы и оповещения производительности — системная служба, оставляем как есть.

* Защита программного обеспечения — так же системная служба, оставляем как есть.

* Изоляция ключей CNG — Вручную.

* Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.

* Интерфейс гостевой службы Hyper-V — Если не знаете что такое Hyper-V, то отключаем.

* Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.

* Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.

* Контейнер службы Microsoft Passport — Если нет виртуальной смарт-карты TPM, то отключайте.

* Координатор распределенных транзакций — Ставим вручную.

* Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.

* Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.

* Маршрутизация и удаленный доступ — Не нужна. Отключаем.

* Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.

* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.

* Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.

* Настройка сервера удаленных рабочих столов — Если вы не создаете сервер удаленных рабочих столов, то отключайте.

* Немедленные подключения Windows — регистратор настройки — Вручную.

* Обнаружение SSDP — Необходима для новых устройств, но не всегда такие устройства можно встретить. По этому поставьте вручную, а если не понадобится, то отключите.

* Обнаружение интерактивных служб — Вручную.

* Обновление службы оркестратора — Решение по управлению рабочими процессами в центре обработки данных. Orchestrator позволяет автоматизировать создание, мониторинг и развертывание ресурсов в среде. Вообщем поставьте вручную.

* Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.

* Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.

* Оптимизация дисков — Это теперь по новому называется дефрагментация дисков, на деюсь знаете что это. Оставляем как есть, а если у нас установлен SSD диск, то отключаем.

* Оптимизация доставки — Это что-то типа торрента. Например качаете обновления или приложения с магазина, то скачивание происходит с найденных источников. Тем самым скорость загрузки возрастает. Лучше оставить вручную, когда будет происходить какая-нибудь закачка, она включится автоматически.

* Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.

* Питание — Не отключается. Оставляем.

* Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.

* Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.

* Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.

* Помощник по входу в учетную запись Майкрософт — Помогает в создании и входе в четную запись Майкрософт. Лучше оставить вручную.

* Помощник по подключению к сети — Уведомления о DirectAccess не нужны, отключаем.

* Посредник подключений к сети — Если не нужны уведомления о программах в магазине, то отключайте.

* Поставщик домашней группы — Для использования домашних групп. Лучше вручную.

* Проводная автонастройка — Вручную.

* Программа архивации данных — Если пользуетесь архивацией и восстановлением, то оставляем как есть. Если нет, то отключаем.

* Программный поставщик теневого копирования (Microsoft) — Вручную.

* Прослушиватель домашней группы — Вручную.

* Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.

* Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.

* Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.

* Рабочие папки — Если используете рабочие папки (обычно их используют в организациях), то оставьте как есть, если нет отключите.

* Распространение сертификата — Лучше вручную.

* Расширения и уведомления для принтеров — Если используете принтер, то оставьте, если нет, то отключите.

* Расширяемый протокол проверки подлинности (EAP) — Вручную.

* Сборщик событий Windows — Вручную.

* Сведения о приложении — Вручную.

* Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.

* Сервер моделей данных плиток — Если используете интерфейс метро, то оставляйте, если нет, то отключаем.

* Сетевая служба Xbox Live — опять же если не используете Xbox, то отключайте.

* Сетевой вход в систему — Вручную.

* Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.

* Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.

* Системное приложение COM+ — Так же вручную.

* Служба Microsoft Passport — Если нет виртуальной смарт-карты TPM, то отключайте.

* Служба push-уведомлений Windows — Если вам не нужны уведомления от приложений, то отключайте. Если нужны, то оставляйте.

* Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.

* Служба Windows License Manager — Служба нужна для управления лицензиями приложений скачанных в магазине. Если от туда ничего не качаете, то отключайте.

* Служба Windows Mobile Hotspot — Служба нужна для организации точки доступа Wi-Fi, т.е. раздавать беспроводной интернет другим устройствам. Если не раздаете, то отключите.

* Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.

* Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.

* Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.

* Служба беспроводной связи Bluetooth — Нужна если пользуетесь гарнитурами Bluetooth.

* Служба виртуализации удаленных рабочий столов Hyper-V — Опять же, если не знаете что такое Hyper-V, то отключайте.

* Служба времени Windows — нужна для синхронизации времени с интернетом.

* Служба географического положения — Отключаем. Она нужна только для телефонов. Интернет и так найдет где вы находитесь)

* Служба данных датчиков — Если вы не подключали никаких датчиков, то отключайте. На телефонах и планшетах оставьте.

* Служба датчиков — Тоже самое. Нужно для телефонов и планшетов.

* Служба демонстрации магазина — Отключаем, не нужно ничего демонстрировать)

* Служба диагностического отслеживания — Служба из серии слежки, по этому отключаем.

* Служба завершения работы в качестве гостя (Hyper-V) — Опять же если не знаете что такое Hyper-V, то отключаем.

* Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.

* Служба запросов на теневое копирование томов Hyper-V — Опять же если не знаете что такое Hyper-V, то отключаем.

* Служба защитника Windows — С хорошим антивирусом, это ненужная служба, но просто так её не отключить тут.

* Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.

* Служба интерфейса сохранения сети — Нужна для нормальной работы сети.

* Служба инфраструктуры фоновых задач — Для нормальной работы фоновых операций, оставьте.

* Служба истории файлов — Новый способ защиты файлов, при любых изменениях файлы дублируются. Отключать или нет дело каждого. Я наверно отключил бы, т.к. раньше не было и не нужно было)

* Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.

* Служба лицензий клиента (ClipSVC) — нужна для приложений скачанных из магазина. Если ничего от туда не качаете, то можно отключить.

* Служба Магазина Windows (WSService) — Если пользуетесь магазином, то оставляем, если нет, отключаем.

* Служба маршрутизатора AllJoyn — Если не знаете что это такое, то отключайте.

* Служба маршрутизатора SMS Microsoft Windows — На компьютере эта служба точно не нужна!

* Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.

* Служба наблюдения за датчиками — Если на компьютере нет датчиков, то не нужна.

* Служба настройки сети — Лучше оставить вручную.

* Служба обмена данными (Hyper-V) — Опять же если не пользуетесь Hyper-V отключайте.

* Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.

* Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.

* Служба перечисления устройств чтения смарт-карт — Если не пользуетесь смарт-картами, то отключайте.

* Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.

* Служба поддержки Bluetooth — Нужна если есть Bluetooth.

* Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.

* Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.

* Служба проверки сети Защитника Windows — Опять же лучше хороший антивирус, чем эта служба, но просто так не отключите.

* Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.

* Служба публикации имен компьютеров PNRP — Нужна для домашних групп.

* Служба пульса (Hyper-V) — Следит за состояние виртуальной машины. Если не пользуетесь виртуальными машинами Hyper-V, то отключайте.

* Служба развертывания AppX (AppXSVC) — Если не используете магазин, то отключайте.

* Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.

* Служба регистрации управления устройством — Лучше оставить вручную.

* Служба репозитория состояний — лучше оставить так же вручную.

* Служба сборщика ETW Internet Explorer — Ещё один сборщик, отключаем.

* Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.

* Служба сеансов виртуальных машин (Hyper-V) — если нет виртуальных машин Hyper-V отключаем.

* Служба сенсорной клавиатуры и панели рукописного ввода — нужна для планшетов. Если нет на компьютере сенсорной клавиатуры или графического планшета, то отключаем.

* Служба синхронизации времени (Hyper-V) — если нет виртуальных машин Hyper-V отключаем.

* Служба совместного доступа к данным — оставьте вручную.

* Служба сопоставления устройств — Если компьютер не контактирует с другими устройствами по проводу или по беспроводным соединениям, то можно отключить.

* Служба списка сетей — Так же лучше оставить.

* Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.

* Служба удаленного управления Windows (WS-Management) — Поставьте вручную.

* Служба узла поставщика шифрования Windows — Отключаем.

* Служба установки устройств — Лучше оставить как есть, служба для правильной установки устройств.

* Служба хранилища — лучше оставить вручную.

* Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.

* Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.

* Службы криптографии — Для установки новых программ, лучше оставьте как есть.

* Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.

* Смарт-карта — Если ими не пользуетесь, то она вам не нужна.

* События получения неподвижных изображений — нужна для сканирования изображений. По этому если нет сканера, то отключаем.

* Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.

* Сохранение игр на Xbox Live — Если нет Xbox, то отключаем.

* Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.

* Стандартная служба сборщика центра диагностики Microsoft (R) — Опять сборщик, отключаем.

* Телефония — Оставьте вручную. Если понадобится, запустится.

* Темы — Едят много ресурсов памяти. Если не нужны, отключайте.

* Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.

* Тополог канального уровня — Тоже вручную. Если понадобится, запустится.

* Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.

* Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.

* Удостоверение приложения — Вручную.

* Узел системы диагностики — Диагностика проблем. Поставьте вручную.

* Узел службы диагностики — Так же вручную.

* Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.

* Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.

* Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.

* Установщик Windows — Установка программ .msi. Вручную.

* Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.

* Факс — Нужна если только есть факс.

* Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.

* Хост библиотеки счетчика производительности — Передает счетчики производительности другим пользователям. Отключаем.

* Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.

* Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.

* Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.

* Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.

* Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.

На это все. В данной статье я описал службы которые можно отключить в windows 10, а так же что лучше оставить, для нормальной работы системы. Проверил на себе, у меня все работает. Если у вас есть ещё какая-то информация, пишите, дополню, это поможет многим людям.

 

alexzsoft.ru

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014&nbsp windows | для начинающих

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

А вдруг и это будет интересно:

remontka.pro

---

• 
  Все журналы грогнак варвар в фоллаут 4
• 
  Журнал производства работ по нанесению антикоррозионного покрытия
• 
  Журнал выполнения норм питания в детском саду
• 
  Статьи по математике из журналов для школьников
• 
  Устный педагогический журнал для родителей в доу
• 
  Журнал регистрации административных процедур в рб образец
• 
  Журнал наблюдения за детьми в доу образец
• 
  Журнал инструктаж по пожарной безопасности периодичность проведения
• 
  Журнал заявок для рабочего по обслуживанию здания
• 
  Журнал идеи вашего дома спецвыпуск 2 2017
• 
  Журнал газовая промышленность 2011 журнал газовая промышленность