windows-hendelseslogg

Windows-hendelsesloggen er en detaljert oversikt over system -, sikkerhets-og programvarsler som er lagret av windows-operativsystemet, og som brukes av administratorer til å diagnostisere systemproblemer og forutsi fremtidige problemer.

Programmer og operativsystemet (OS) bruker disse hendelsesloggene til å registrere viktige maskinvare-og programvarehandlinger som administratoren kan bruke til å feilsøke problemer med operativsystemet. Windows-operativsystemet sporer bestemte hendelser i loggfilene, for eksempel programinstallasjoner, sikkerhetsadministrasjon, systemoppsettoperasjoner ved oppstart og problemer eller feil.

elementene I en windows-hendelseslogg

hver hendelse i en loggoppføring inneholder følgende informasjon:

Dato: datoen hendelsen oppstod.

Tid: tiden hendelsen inntraff.

Bruker: brukernavnet til brukeren som var logget på maskinen da hendelsen inntraff.

Datamaskin: navnet på datamaskinen.

Hendelses-ID: Et Windows-identifikasjonsnummer som angir hendelsestypen.

Kilde: programmet eller komponenten som forårsaket hendelsen.

type: hendelsestypen, inkludert informasjon, advarsel, feil, revisjon av sikkerhetssuksess eller revisjon av sikkerhetssvikt.

en informasjonshendelse kan for eksempel vises som:

Informasjon 5/16/2018 8:41:15 Am Service Control Manager 7036 Ingen

en advarselshendelse kan se slik ut:

Advarsel 5/11/2018 10:29:47 Am Kernel-Event Tracing 1 Logging

Ved sammenligning, en feilhendelse kan vises som:

feil 5/16/2018 8:41: 15 Am Service Control Manager 7001 Ingen

en kritisk hendelse kan ligne:

Kritisk 5/11/2018 8:55:02 Am Kernel-Power 41 (63)

typen informasjon som er lagret i windows-hendelseslogger

Windows-operativsystemet registrerer hendelser i fem områder: program, sikkerhet, oppsett, system og videresendte hendelser. Windows lagrer hendelseslogger i C:\WINDOWS\system32\config \ mappe.

Programhendelser gjelder hendelser med programvaren som er installert på den lokale datamaskinen. Hvis et program som Microsoft Word krasjer, vil windows-hendelsesloggen opprette en loggoppføring om problemet, programnavnet og hvorfor det krasjet.

Sikkerhetshendelser lagrer informasjon basert på windows-systemets overvåkingspolicyer, og de typiske hendelsene som er lagret, inkluderer påloggingsforsøk og ressurstilgang. Sikkerhetsloggen lagrer for eksempel en post når datamaskinen prøver å bekrefte kontoinformasjon når en bruker prøver å logge på en maskin.

Oppsetthendelser omfatter virksomhetsfokuserte hendelser knyttet til kontroll av domener, for eksempel plasseringen av logger etter en diskkonfigurasjon.

Systemhendelser relaterer seg til hendelser På Windows-spesifikke systemer, for eksempel status for enhetsdrivere.

Videresendte hendelser kommer fra andre maskiner på samme nettverk når en administrator ønsker å bruke en datamaskin som samler flere logger.

Bruk Av Hendelsesliste

Microsoft inkluderer Hendelsesliste i Operativsystemet Windows Server og klient for å vise windows-hendelseslogger. Brukere får Tilgang Til Hendelsesliste ved å klikke Start-knappen og skrive Inn Hendelsesliste i søkefeltet. Brukere kan deretter velge og inspisere ønsket logg.

Windows Event Viewer
Hendelsesliste-programmet i windows-operativsystemet

Windows kategoriserer alle hendelser med et alvorlighetsnivå. Nivåene etter alvorlighetsgrad er informasjon, advarsel, feil og kritisk.

de fleste logger består av informasjonsbaserte hendelser. Logger med denne oppføringen betyr vanligvis at hendelsen skjedde uten hendelse eller problem. Et eksempel på en systembasert informasjonshendelse er Hendelse 42, Kjernekraft som indikerer at systemet går inn i hvilemodus.

Varselnivåhendelser er basert på bestemte hendelser, for eksempel mangel på lagringsplass. Advarsler kan gi oppmerksomhet til potensielle problemer som kanskje ikke krever umiddelbar handling. Hendelses 51, Disk Er et eksempel på en systembasert advarsel knyttet til en personsøkingsfeil på maskinens stasjon.

et feilnivå indikerer at en enhet kan ha mislyktes i å laste eller operere forventet. Hendelse 5719, NETLOGON ER et eksempel på en systemfeil når en datamaskin ikke kan konfigurere en sikker økt med en domenekontroller.

Hendelser På Kritisk nivå indikerer de alvorligste problemene. Hendelses-ID 41, Kernel-Power er et eksempel på en kritisk systemhendelse når en maskin starter på nytt uten en ren avslutning.

Andre verktøy for å vise windows-hendelseslogger

Microsoft gir Også wevtutil kommandolinjeverktøy I System32-mappen som henter hendelseslogger, kjører spørringer, eksporterer logger, arkiver logger og klare logger.

tredjepartsverktøy som også fungerer Med windows-hendelseslogger, inkluderer SolarWinds Log & Event Manager, som gir hendelseskorrelasjon Og utbedring i sanntid, overvåking av filintegritet, OVERVÅKING AV USB-enheter og trusseloppdagelse. Logg & Event Manager samler automatisk inn logger fra servere, programmer og nettverksenheter.

ManageEngine EventLog Analyzer bygger tilpassede rapporter fra loggdata og sender sanntids tekstmelding og e-postvarsler basert på bestemte hendelser.

Bruke PowerShell til å spørre etter hendelser

Microsoft bygger windows-hendelseslogger i xml-format (extensible markup language) med en EVTX-utvidelse. XML gir mer detaljert informasjon og et konsistent format for strukturerte data.

Administratorer kan bygge kompliserte XML-spørringer med Cmdleten Get-WinEvent PowerShell for å legge til eller ekskludere hendelser fra en spørring.

Leave a Reply

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.