Журнал событий
Журнал событий англ. Event Log — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях. Служба журналов событий сохраняет события от различных источников в едином журнале событий, программа просмотра событий позволяет пользователю наблюдать за журналом событий, программный интерфейс (API) позволяет приложениям записывать в журнал информацию и просматривать существующие записи.
События
Записи журнала событий хранятся в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
Данный ключ содержит подключи, называемые файлами журнала. По умолчанию имеются:
- файл журнала приложений — для событий приложений и служб;
- файл журнала безопасности — для событий системы аудита;
- файл системного журнала — для событий драйверов устройств.
Имеется возможность создавать дополнительные журналы. Для каждого источника событий в журнале создаётся отдельный подключ. События от каждого источника могут включаться в определяемые отдельно для каждого источника категории. События должны принадлежать к одному из пяти предопределённых типов.
| Тип | Описание |
|---|---|
| Информация | События указывают редкие и важные успешные операции. |
| Предупреждение | События указывают проблемы, которые не требуют немедленного вмешательства, но могут привести к ошибкам в будущем. Примером такого рода событий может служить исчерпание ресурсов. |
| Ошибка | События указывают существенные проблемы, обычно приводящие к потере функциональности или данных. Примером может служить невозможность запуска службы при загрузке. |
| Успешный аудит | События безопасности, которые происходят при успешном обращении к аудируемым ресурсам. Примером может служить успешный вход в систему. |
| Не успешный аудит | События безопасности, которые происходят при неуспешном обращении к аудируемым ресурсам. Примером может служить попытка открыть файл, не имея соответствующих прав доступа. |
Запись о событии включает в себя: идентификатор события, тип события, категорию события, массив строк и дополнительные, специфичные для события, двоичные данные. Каждый источник событий должен зарегистрировать свой файл сообщений, в котором хранятся строки описания идентификаторов сообщений, категорий и параметров. Строка описания может содержать места для вставки строк из массива, указанного при записи события, например:
Невозможно открыть %1, ошибка %2
Дополнительные данные никак не интерпретируются программой просмотра событий и отображаются в шестнадцатеричном и текстовом формате.
Программный интерфейс
Основные функции работы с событиями:
- OpenEventLog — открытие журнала на указанном компьютере для административных операций;
- ReadEventLog — чтение части журнала в буфер;
- GetOldestEventLogRecord — получить номер самой старой записи;
- GetNumberOfEventLogRecords — получить количество записей в указанном журнале;
- NotifyChangeEventLog — получать уведомления при записи в указанный журнал;
- BackupEventLog — запись журнала в архив;
- ClearEventLog — очистка журнала с возможностью записи в архив;
- OpenBackupEventLog — открытие архивной копии журнала;
- CloseEventLog — закрытие журнала;
- RegisterEventSource — открытие журнала для записи событий от указанного источника;
- ReportEvent — запись события в журнал;
- DeregisterEventSource — закрытие журнала, открытого для записи.
Уязвимости и способы защиты
Администраторы могут осмотреть и очищать журнал, разделить права на чтение и очистку невозможно. Кроме того, администратор может использовать специальную утилиту Winzapper для удаления записей о конкретных событиях из журнала. По этой причине, в случае если учетная запись администратора была взломана, история событий, содержащихся в журнале событий, становится недостоверной. Противостоять этому можно путём создания удаленного сервера журнала, доступ к которому будет осуществляться лишь посредством консоли.
Как только журнал достигает максимально допустимого размера, он может либо перезаписывать старые события, либо остановить запись. Это делает его восприимчивым к атакам, в которых нарушитель пытается переполнить журнал путём создания большого числа новых событий. Частично против этого может помочь увеличение максимального размера журнала. Таким образом, для переполнения журнала потребуется инициировать большее количество событий. Можно дать команду журналу не перезаписывать старые события, но это может стать причиной сбоя.
Ещё один способ атаковать журнал событий - зарегистрироваться под учетной записью администратора и изменить политику аудита, а именно - остановить запись в журнал несанкционированной активности. В зависимости от настроек политики аудита, её изменение может быть записано в журнале. Запись об этом событии можно очистить с помощью Winzapper. С этого момента активность не будет фиксироваться в журнале событий.
Конечно, доступ к журналу нужен не для всех атак. Но зная о том, каким образом работает журнал событий, можно принять меры предосторожности во избежание обнаружения. Например, пользователь, желающий войти в систему под учетной записью сослуживца по корпоративной сети, может ждать до тех пор, пока не сможет незаметно воспользоваться компьютером. Далее он использует аппаратные средства для подбора пароля и регистрируется в системе. Затем имя учетной записи пользователя передается в службу терминалов с Wi-Fi Hotspot, IP-адрес которого невозможно будет отследить и выйти через него на взломщика.
После того как журнал очищается через окно просмотра событий, сразу создается одна запись в свежеочищенный журнал, отмечая время очистки и администратора-исполнителя. Эта информация может стать отправной точкой в расследовании подозрительных действий.
Кроме журнала событий Windows, администраторы также могут проверить журнал безопасности Брандмауэра Windows.
Напишите отзыв о статье "Журнал событий"
Ссылки
- [msdn.microsoft.com/en-us/library/windows/desktop/aa363632.aspx About Event Logging] (англ.). MSDN Library. Microsoft (4 June 2012). Проверено 4 июля 2012. [www.webcitation.org/69lOcPQlj Архивировано из первоисточника 8 августа 2012].
- [www.microsoft.com/technet/archive/winntas/maintain/security/ntsecuri.mspx?mfr=true The NT Security Log - Your Best and Last Defense], R. Franklin Smith
- [www.ntsecurity.nu/toolbox/winzapper/ Winzapper FAQ], NTSecurity.
- [technet.microsoft.com/ru-ru/library/cc875806.aspx Наблюдение за безопасностью и обнаружение атак], Microsoft
- [technet.microsoft.com/en-us/library/Bb742436.aspx Tracking Logon and Logoff Activity in Windows 2000], Microsoft
- [www.rsdn.ru/article/baseserv/eventlog.xml#EHD Журнал событий (Event Logging)]
- [www.citforum.ru/operating_systems/articles/winntjsec.shtml Анализируем журнал безопасности Windows NT], Франклин Р. Смит
- [shkolazhizni.ru/archive/0/n-15386/ Может ли журнал событий Windows стать увлекательным чтением?] Валерий Сидоров
Отрывок, характеризующий Журнал событий
Князь Андрей, как будто кто нибудь обжег его, вскочил и стал опять ходить перед сараем.25 го августа, накануне Бородинского сражения, префект дворца императора французов m r de Beausset и полковник Fabvier приехали, первый из Парижа, второй из Мадрида, к императору Наполеону в его стоянку у Валуева.
Переодевшись в придворный мундир, m r de Beausset приказал нести впереди себя привезенную им императору посылку и вошел в первое отделение палатки Наполеона, где, переговариваясь с окружавшими его адъютантами Наполеона, занялся раскупориванием ящика.
Fabvier, не входя в палатку, остановился, разговорясь с знакомыми генералами, у входа в нее.
Император Наполеон еще не выходил из своей спальни и оканчивал свой туалет. Он, пофыркивая и покряхтывая, поворачивался то толстой спиной, то обросшей жирной грудью под щетку, которою камердинер растирал его тело. Другой камердинер, придерживая пальцем склянку, брызгал одеколоном на выхоленное тело императора с таким выражением, которое говорило, что он один мог знать, сколько и куда надо брызнуть одеколону. Короткие волосы Наполеона были мокры и спутаны на лоб. Но лицо его, хоть опухшее и желтое, выражало физическое удовольствие: «Allez ferme, allez toujours…» [Ну еще, крепче…] – приговаривал он, пожимаясь и покряхтывая, растиравшему камердинеру. Адъютант, вошедший в спальню с тем, чтобы доложить императору о том, сколько было во вчерашнем деле взято пленных, передав то, что нужно было, стоял у двери, ожидая позволения уйти. Наполеон, сморщась, взглянул исподлобья на адъютанта.
– Point de prisonniers, – повторил он слова адъютанта. – Il se font demolir. Tant pis pour l'armee russe, – сказал он. – Allez toujours, allez ferme, [Нет пленных. Они заставляют истреблять себя. Тем хуже для русской армии. Ну еще, ну крепче…] – проговорил он, горбатясь и подставляя свои жирные плечи.
– C'est bien! Faites entrer monsieur de Beausset, ainsi que Fabvier, [Хорошо! Пускай войдет де Боссе, и Фабвье тоже.] – сказал он адъютанту, кивнув головой.
– Oui, Sire, [Слушаю, государь.] – и адъютант исчез в дверь палатки. Два камердинера быстро одели его величество, и он, в гвардейском синем мундире, твердыми, быстрыми шагами вышел в приемную.
Боссе в это время торопился руками, устанавливая привезенный им подарок от императрицы на двух стульях, прямо перед входом императора. Но император так неожиданно скоро оделся и вышел, что он не успел вполне приготовить сюрприза.
Наполеон тотчас заметил то, что они делали, и догадался, что они были еще не готовы. Он не захотел лишить их удовольствия сделать ему сюрприз. Он притворился, что не видит господина Боссе, и подозвал к себе Фабвье. Наполеон слушал, строго нахмурившись и молча, то, что говорил Фабвье ему о храбрости и преданности его войск, дравшихся при Саламанке на другом конце Европы и имевших только одну мысль – быть достойными своего императора, и один страх – не угодить ему. Результат сражения был печальный. Наполеон делал иронические замечания во время рассказа Fabvier, как будто он не предполагал, чтобы дело могло идти иначе в его отсутствие.
– Я должен поправить это в Москве, – сказал Наполеон. – A tantot, [До свиданья.] – прибавил он и подозвал де Боссе, который в это время уже успел приготовить сюрприз, уставив что то на стульях, и накрыл что то покрывалом.
Де Боссе низко поклонился тем придворным французским поклоном, которым умели кланяться только старые слуги Бурбонов, и подошел, подавая конверт.
Наполеон весело обратился к нему и подрал его за ухо.
– Вы поспешили, очень рад. Ну, что говорит Париж? – сказал он, вдруг изменяя свое прежде строгое выражение на самое ласковое.
– Sire, tout Paris regrette votre absence, [Государь, весь Париж сожалеет о вашем отсутствии.] – как и должно, ответил де Боссе. Но хотя Наполеон знал, что Боссе должен сказать это или тому подобное, хотя он в свои ясные минуты знал, что это было неправда, ему приятно было это слышать от де Боссе. Он опять удостоил его прикосновения за ухо.
– Je suis fache, de vous avoir fait faire tant de chemin, [Очень сожалею, что заставил вас проехаться так далеко.] – сказал он.
– Sire! Je ne m'attendais pas a moins qu'a vous trouver aux portes de Moscou, [Я ожидал не менее того, как найти вас, государь, у ворот Москвы.] – сказал Боссе.
Наполеон улыбнулся и, рассеянно подняв голову, оглянулся направо. Адъютант плывущим шагом подошел с золотой табакеркой и подставил ее. Наполеон взял ее.
– Да, хорошо случилось для вас, – сказал он, приставляя раскрытую табакерку к носу, – вы любите путешествовать, через три дня вы увидите Москву. Вы, верно, не ждали увидать азиатскую столицу. Вы сделаете приятное путешествие.
Боссе поклонился с благодарностью за эту внимательность к его (неизвестной ему до сей поры) склонности путешествовать.
– А! это что? – сказал Наполеон, заметив, что все придворные смотрели на что то, покрытое покрывалом. Боссе с придворной ловкостью, не показывая спины, сделал вполуоборот два шага назад и в одно и то же время сдернул покрывало и проговорил:
– Подарок вашему величеству от императрицы.
Это был яркими красками написанный Жераром портрет мальчика, рожденного от Наполеона и дочери австрийского императора, которого почему то все называли королем Рима.
Весьма красивый курчавый мальчик, со взглядом, похожим на взгляд Христа в Сикстинской мадонне, изображен был играющим в бильбоке. Шар представлял земной шар, а палочка в другой руке изображала скипетр.
Хотя и не совсем ясно было, что именно хотел выразить живописец, представив так называемого короля Рима протыкающим земной шар палочкой, но аллегория эта, так же как и всем видевшим картину в Париже, так и Наполеону, очевидно, показалась ясною и весьма понравилась.
– Roi de Rome, [Римский король.] – сказал он, грациозным жестом руки указывая на портрет. – Admirable! [Чудесно!] – С свойственной итальянцам способностью изменять произвольно выражение лица, он подошел к портрету и сделал вид задумчивой нежности. Он чувствовал, что то, что он скажет и сделает теперь, – есть история. И ему казалось, что лучшее, что он может сделать теперь, – это то, чтобы он с своим величием, вследствие которого сын его в бильбоке играл земным шаром, чтобы он выказал, в противоположность этого величия, самую простую отеческую нежность. Глаза его отуманились, он подвинулся, оглянулся на стул (стул подскочил под него) и сел на него против портрета. Один жест его – и все на цыпочках вышли, предоставляя самому себе и его чувству великого человека.
