het Windows-gebeurtenislogboek is een gedetailleerd overzicht van systeem -, beveiligings-en toepassingsmeldingen die door het Windows-besturingssysteem zijn opgeslagen en door beheerders worden gebruikt om systeemproblemen te diagnosticeren en toekomstige problemen te voorspellen.
toepassingen en het besturingssysteem (OS) gebruiken deze gebeurtenislogboeken om belangrijke hardware-en softwareacties vast te leggen die de beheerder kan gebruiken om problemen met het besturingssysteem op te lossen. Het Windows-besturingssysteem volgt specifieke gebeurtenissen in zijn logbestanden, zoals toepassingsinstallaties, beveiligingsbeheer, systeeminstellingen bij het eerste opstarten en problemen of fouten.
de elementen van een Windows gebeurtenislogboek
elke gebeurtenis in een logboekvermelding bevat de volgende informatie:
datum: de datum waarop de gebeurtenis heeft plaatsgevonden.
tijd: het tijdstip waarop de gebeurtenis zich heeft voorgedaan.
gebruiker: de gebruikersnaam van de gebruiker die op de machine is aangemeld toen de gebeurtenis plaatsvond.
Computer: de naam van de computer.
Gebeurtenis-ID: Een Windows-identificatienummer dat het gebeurtenistype specificeert.
bron: het programma of onderdeel dat de gebeurtenis heeft veroorzaakt.
type: het type gebeurtenis, met inbegrip van informatie, waarschuwing, fout, audit van beveiligingssucces of audit van beveiligingsfouten.
een informatiegebeurtenis kan bijvoorbeeld verschijnen als:
informatie 5/16/2018 8: 41: 15 am Service Control Manager 7036 None
een waarschuwingsgebeurtenis kan er uitzien als:
waarschuwing 5/11/2018 10: 29: 47 am Kernelgebeurtenis traceren 1 Logging
ter vergelijking kan een foutgebeurtenis verschijnen als:
Error 5/16/2018 8:41: 15 am Service Control Manager 7001 geen
een kritieke gebeurtenis kan lijken op:
kritisch 5/11/2018 8:55: 02 am Kernel-Power 41 (63)
het type informatie dat is opgeslagen in Windows gebeurtenislogboeken
het Windows-besturingssysteem registreert gebeurtenissen in vijf gebieden: toepassing, beveiliging, installatie, systeem en doorgestuurde gebeurtenissen. Windows slaat gebeurtenislogboeken op in de C:\WINDOWS\system32\config \ map.
toepassingsgebeurtenissen hebben betrekking op incidenten met de software die op de lokale computer is geïnstalleerd. Als een toepassing zoals Microsoft Word crasht, maakt het Windows-gebeurtenislogboek een logboekvermelding over het probleem, de naam van de toepassing en waarom het is gecrasht.
beveiligingsgebeurtenissen slaan informatie op op basis van het auditbeleid van het Windows-systeem, en de typische opgeslagen gebeurtenissen omvatten aanmeldpogingen en toegang tot bronnen. In het beveiligingslogboek wordt bijvoorbeeld een record opgeslagen wanneer de computer probeert accountreferenties te verifiëren wanneer een gebruiker zich bij een machine probeert aan te melden.
Installatiegebeurtenissen omvatten bedrijfsgerichte gebeurtenissen met betrekking tot het beheer van domeinen, zoals de locatie van logboeken na een schijfconfiguratie.
systeemgebeurtenissen hebben betrekking op incidenten op Windows-specifieke systemen, zoals de status van apparaatstuurprogramma ‘ s.
doorgestuurde gebeurtenissen komen van andere machines op hetzelfde netwerk wanneer een beheerder een computer wil gebruiken die meerdere logs verzamelt.
met Logboeken
Microsoft bevat Logboeken in zijn Windows Server en client-besturingssysteem om gebeurtenislogboeken van Windows te bekijken. Gebruikers krijgen toegang tot de logboeken door op de knop Start te klikken en Logboeken in te voeren in het zoekveld. Gebruikers kunnen dan het gewenste log selecteren en inspecteren.
Windows categoriseert elke gebeurtenis met een ernstniveau. De niveaus in volgorde van ernst zijn informatie, waarschuwing, fout en kritiek.
de meeste logs bestaan uit op informatie gebaseerde gebeurtenissen. Logboeken met deze vermelding betekenen meestal dat de gebeurtenis heeft plaatsgevonden zonder incident of probleem. Een voorbeeld van een systeemgebaseerde informatie-event is Event 42, Kernel-Power, die aangeeft dat het systeem in de slaapstand gaat.
gebeurtenissen op Waarschuwingsniveau zijn gebaseerd op specifieke gebeurtenissen, zoals een gebrek aan opslagruimte. Waarschuwingsberichten kunnen de aandacht vestigen op mogelijke problemen die mogelijk geen onmiddellijke actie vereisen. Event 51, Disk is een voorbeeld van een systeemgebaseerde waarschuwing gerelateerd aan een paging fout op de schijf van de machine.
een foutniveau geeft aan dat een apparaat mogelijk niet is geladen of naar verwachting heeft gewerkt. Event 5719, NETLOGON is een voorbeeld van een systeemfout wanneer een computer geen beveiligde sessie kan configureren met een domeincontroller.
gebeurtenissen op kritiek niveau wijzen op de ernstigste problemen. Event ID 41, Kernel-Power is een voorbeeld van een kritieke systeemgebeurtenis wanneer een machine herstart zonder een schone shutdown.
Andere hulpmiddelen om Windows-gebeurtenislogboeken
te bekijken Microsoft biedt ook het opdrachtregelhulpprogramma wevtutil in de map System32 waarmee gebeurtenislogboeken worden opgehaald, query ‘ s worden uitgevoerd, logboeken worden geëxporteerd, archieflogboeken worden opgeslagen en logboeken worden gewist.
hulpprogramma ‘ s van derden die ook werken met Windows-gebeurtenislogboeken omvatten SolarWinds Log & Event Manager, die real-time gebeurteniscorrelatie en herstel biedt; bestandsintegriteitsmonitoring; USB-apparaatmonitoring; en dreigingsdetectie. Log & Event Manager verzamelt automatisch logs van servers, toepassingen en netwerkapparaten.
ManageEngine EventLog Analyzer bouwt aangepaste rapporten van loggegevens en verzendt real-time SMS-en e-mailwaarschuwingen op basis van specifieke gebeurtenissen.
PowerShell gebruiken om gebeurtenissen
te bevragen Microsoft bouwt Windows-gebeurtenislogboeken in XML-formaat (extensible markup language) met een EVTX-extensie. XML biedt meer gedetailleerde informatie en een consistent formaat voor gestructureerde gegevens.
beheerders kunnen ingewikkelde XML-query ‘ s maken met de Get-WinEvent PowerShell-cmdlet om gebeurtenissen uit een query toe te voegen of uit te sluiten.