Приложение Просмотр событий Windows. Журнал событий что такое

Журнал событий - это... Что такое Журнал событий?

Журнал событий англ. Event Log — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.

События

Записи журнала событий хранятся в ключе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Данный ключ содержит подключи, называемые файлами журнала. По умолчанию имеются:

• файл журнала приложений — для событий приложений и служб;
• файл журнала безопасности — для событий системы аудита;
• файл системного журнала — для событий драйверов устройств.

Имеется возможность создавать дополнительные журналы.

Для каждого источника событий в журнале создаётся отдельный подключ. События от каждого источника могут включаться в определяемые отдельно для каждого источника категории. События должны принадлежать к одному из пяти предопределённых типов. Тип Описание

Информация	События указывают редкие и важные успешные операции.
Предупреждение	События указывают проблемы, которые не требуют немедленного вмешательства, но могут привести к ошибкам в будущем. Примером такого рода событий может служить исчерпание ресурсов.
Ошибка	События указывают существенные проблемы, обычно приводящие к потере функциональности или данных. Примером может служить невозможность запуска службы при загрузке.
Успешный аудит	События безопасности, которые происходят при успешном обращении к аудируемым ресурсам. Примером может служить успешный вход в систему.
Не успешный аудит	События безопасности, которые происходят при неуспешном обращении к аудируемым ресурсам. Примером может служить попытка открыть файл, не имея соответствующих прав доступа.

Запись о событии включает в себя: идентификатор события, тип события, категорию события, массив строк и дополнительные, специфичные для события, двоичные данные. Каждый источник событий должен зарегистрировать свой файл сообщений, в котором хранятся строки описания идентификаторов сообщений, категорий и параметров. Строка описания может содержать места для вставки строк из массива, указанного при записи события, например:

Невозможно открыть %1, ошибка %2

Дополнительные данные никак не интерпретируются программой просмотра событий и отображаются в шестнадцатеричном и текстовом формате.

Программный интерфейс

Основные функции работы с событиями:

• OpenEventLog — открытие журнала на указанном компьютере для административных операций;
• ReadEventLog — чтение части журнала в буфер;
• GetOldestEventLogRecord — получить номер самой старой записи;
• GetNumberOfEventLogRecords — получить количество записей в указанном журнале;
• NotifyChangeEventLog — получать уведомления при записи в указанный журнал;
• BackupEventLog — запись журнала в архив;
• ClearEventLog — очистка журнала с возможностью записи в архив;
• OpenBackupEventLog — открытие архивной копии журнала;
• CloseEventLog — закрытие журнала;
• RegisterEventSource — открытие журнала для записи событий от указанного источника;
• ReportEvent — запись события в журнал;
• DeregisterEventSource — закрытие журнала, открытого для записи.

Уязвимости и способы защиты

Администраторы могут осмотреть и очищать журнал, разделить права на чтение и очистку невозможно. Кроме того, администратор может использовать специальную утилиту Winzapper для удаления записей о конкретных событиях из журнала. По этой причине, в случае если учетная запись администратора была взломана, история событий, содержащихся в журнале событий, становится недостоверной. Противостоять этому можно путем создания удаленного сервера журнала, доступ к которому будет осуществляться лишь посредством консоли.

Как только журнал достигает максимально допустимого размера, он может либо перезаписывать старые события, либо остановить запись. Это делает его восприимчивым к атакам, в которых нарушитель пытается переполнить журнал путем создания большого числа новых событий. Частично против этого может помочь увеличение максимального размера журнала. Таким образом, для переполнения журнала потребуется инициировать большее количество событий. Можно дать команду журналу не перезаписывать старые события, но это может стать причиной сбоя.

Ещё один способ атаковать журнал событий - зарегистрироваться под учетной записью администратора и изменить политику аудита, а именно - остановить запись в журнал несанкционированной активности. В зависимости от настроек политики аудита, её изменение может быть записано в журнале. Запись об этом событии можно очистить с помощью Winzapper. С этого момента активность не будет фиксироваться в журнале событий.

Конечно, доступ к журналу нужен не для всех атак. Но зная о том, каким образом работает журнал событий, можно принять меры предосторожности во избежание обнаружения. Например, пользователь, желающий войти в систему под учетной записью сослуживца по корпоративной сети, может ждать до тех пор, пока не сможет незаметно воспользоваться компьютером. Далее он использует аппаратные средства для подбора пароля и регистрируется в системе. Затем имя учетной записи пользователя передается в службу терминалов с Wi-Fi Hotspot, IP-адрес которого не возможно будет отследить и выйти через него на взломщика.

После того как журнал очищается через окно просмотра событий, сразу создается одна запись в свежеочищенный журнал, отмечая время очистки и администратора-исполнителя. Эта информация может стать отправной точкой в расследовании подозрительных действий.

Кроме журнала событий Windows, администраторы также могут проверить журнал безопасности Брандмауэра Windows.

Ссылки

dic.academic.ru

Основы работы с журналами событий Windows

Что такое Просмотр событий?

Просмотр событий - это стандартное приложение Windows для просмотра журналов событий Windows и некоторых операций по управлению журналами Windows. Приложение Просмотр событий позволяет получать данные как из локальных журналов событий, так и из журналов Windows других компьютеров по сети. Программа Просмотр событий отображает все доступные в вашей системе журналы, а также позволяет создавать настраиваемые представления и задать правила перенаправления событий. Отображаемые события могут быть отфильтрованы и даже экспортированы либо в файл журнала, либо в текстовые файлы csv или xml. Однако приложение Просмотр событий не позволяет настраивать формат экспорта. Хотя программа Просмотр событий хорошо справляется со своими задачами, все же множество полезных функций в ней не реализовано. Многие специалисты находят функционал Просмотра событий Windows недостаточным для комфортной работы с журналами событий. Наша программа Event Log Explorer помимо базовых функций, аналогичных возможностям программы Просмотр событий, также дает множество дополнительных функций и преимуществ.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для специалистов и руководителей

Как открыть Просмотр событий?

Самый простой способ запустить приложение Просмотр событий - это выполнить следующие шаги:

• Открыть панель управления
• Выбрать система и безопасность
• Затем выбрать Администрирование
• Найти в списке и запустить приложение Просмотр событий

Другие способы запустить Просмотр событий

Запустить Просмотр событий через диалог Выполнить:

• Открыть диалог Выполнить (Windows кнопка + R)
• Ввести команду: EVENTVWR
• Нажать клавишу Enter или кнопку ОК

Открыть Просмотр событий через Управление компьютером.

• Откройте Проводник Windows
• Выделите в списке "Мой компьютер"
• На панели инструментов станет доступно меню-закладка "Компьютер"
• В группе "Система" найдите кнопку "Управление", нажмите ее, должно открыться окно "Управление компьютером"
• В окне "Управление компьютером" слева в дереве найдите элемент "Служебные программы", убедитесь что этот элемент раскрыт
• Выделите элемент "Просмотр событий", убедитесь что в центральной части окна открылся вид "Обзор и сводка" с информацией о журналах событий

Не получается запустить Просмотр событий. Где находится исполняемый файл приложения Просмотр событий?

Приложение Просмотр событий можно запустить через исполняемые файлыC:\Windows\System32\eventvwr.exeилиC:\Windows\System32\eventvwr.msc

 

eventlogxp.com

Значение словосочетания ЖУРНАЛ СОБЫТИЙ. Что такое ЖУРНАЛ СОБЫТИЙ?

• Журнал событий англ. Event Log — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.

Источник: Википедия

Делаем Карту слов лучше вместе

Привет! Меня зовут Лампобот, я компьютерная программа, которая помогает делать Карту слов. Я отлично умею считать, но пока плохо понимаю как устроен ваш мир. Помоги мне разобраться!

Спасибо! Я стал чуточку лучше понимать мир эмоций.

Вопрос: латание дыр — это что-то положительное, отрицательное или нейтральное?

Положительное

Отрицательное

Предложения со словом «журнал событий»:

• Стандартная утилита, позволяющая просматривать системный журнал событий, которые постоянно происходят с программами, операционной системой, системой безопасности и т.
• (все предложения)

Оставить комментарий

Текст комментария:

kartaslov.ru

журнал событий - это... Что такое журнал событий?

 журнал событий

3.1.2 журнал событий : Массив информации, формируемый счетчиком, УСПД и ИВК ЦСОД, характеризующий изменения технического состояния, параметров и режимов работы этого устройства (комплекса) с привязкой к календарному времени.

3.1.3 журнал событий : Массив информации, формируемый устройством (счетчиком, УСПД), характеризующий изменения технического состояния, параметров и режимов работы этого устройства с привязкой к календарному времени.

Словарь-справочник терминов нормативно-технической документации. academic.ru. 2015.

• Журнал операций
• журнал учета опасностей

Смотреть что такое "журнал событий" в других словарях:

• Журнал событий — англ. Event Log в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных… …   Википедия

• запись (как процес, например, в журнал событий) — EN logging When information, such as tank level, is gathered by an instrument and stored for future use or transmission. [http://www.in4ma.co.uk/glossary/logging.html] Тематики счетчик электроэнергии EN logging …   Справочник технического переводчика

• запись в журнал событий — [Интент] Тематики автоматизация, основные понятия EN history record …   Справочник технического переводчика

• запись в журнал событий значений потребленной электроэнергии — [Интент] Тематики счетчик электроэнергии EN logging of historical consumption …   Справочник технического переводчика

• журнал — журнал: Периодическое журнальное издание, имеющее постоянную рубрикацию и содержащее статьи или рефераты по различным вопросам и литературно художественные произведения. Примечание Журнал может иметь приложение. Источник …   Словарь-справочник терминов нормативно-технической документации

• ЖУРНАЛ — (фр.). 1) дневник, поденная запись чего либо. 2) книга, в котор. записываются под номерами содержание входящих и исходящ. бумаг. 3) книга, в котор. ставятся отметки об успехах и поведении учеников. 4) повременное издание, выходящ. не чаще одного… …   Словарь иностранных слов русского языка

• журнал — а, м. journal, > гол. journaal. 1. Книга поденных записей. Сл. 18. || Книга записей военных операций, морских походов, путешествий, научных наблюдений. Сл. 18. Обстоятельное ведение корабельных журналов в России было устанолвено в 1702 г. А. Е …   Исторический словарь галлицизмов русского языка

• ЖУРНАЛ — ЖУРНАЛ, журнала, муж. (франц. journal Дневник, газета). 1. Периодическое издание в виде книжки, содержащей статьи, художественные произведения, иллюстрации. Еженедельный иллюстрированный журнал. Толстые литературные журналы выходят ежемесячно.… …   Толковый словарь Ушакова

• Журнал Здравоохранение — Специализация: здравоохранение, медицина Периодичность: один раз в месяц Язык …   Википедия

• журнал Европейского ядерного общества с обзором мировых событий — — [А.С.Гольдберг. Англо русский энергетический словарь. 2006 г.] Тематики энергетика в целом EN Nuclear Europe WorldscanNEW …   Справочник технического переводчика

normative_reference_dictionary.academic.ru

---

Смотрите также

• 
  Журналы для детского сада
• 
  Что сделать из журналов
• 
  Электронный журнал сго71 тульская
• 8 что такое журнал
• 
  Журнал кто что где
• 
  Что такое журнал плейбой
• 
  Электронная журнал московской области
• 
  Живой журнал что это
• 
  Журнал вот так читать
• 
  Вот так журнал читать
• 
  Электронный журнал 8082 лянтор