Что такое компьютерный журнал

Обновлено: 02.07.2024

Раздел 404 Закона Сарбейнса-Оксли (SOX) требует, чтобы все публичные компании установили внутренний контроль и процедуры.

Закон о защите конфиденциальности детей в Интернете от 1998 года (COPPA) – это федеральный закон, который налагает особые требования на операторов доменов .

План North American Electric Reliability Corporation по защите критически важной инфраструктуры (NERC CIP) представляет собой набор стандартов.

Взаимная аутентификация, также называемая двусторонней аутентификацией, представляет собой процесс или технологию, в которой оба объекта обмениваются данными .

Экранированная подсеть или брандмауэр с тройным подключением относится к сетевой архитектуре, в которой один брандмауэр используется с тремя сетями .

Метаморфное и полиморфное вредоносное ПО – это два типа вредоносных программ (вредоносных программ), код которых может изменяться по мере их распространения.

Медицинская транскрипция (МТ) – это ручная обработка голосовых сообщений, продиктованных врачами и другими медицинскими работниками.

Электронное отделение интенсивной терапии (eICU) — это форма или модель телемедицины, в которой используются самые современные технологии.

Защищенная медицинская информация (PHI), также называемая личной медицинской информацией, представляет собой демографическую информацию, медицинскую .

Снижение рисков – это стратегия подготовки к угрозам, с которыми сталкивается бизнес, и уменьшения их последствий.

Отказоустойчивая технология — это способность компьютерной системы, электронной системы или сети обеспечивать бесперебойное обслуживание.

Синхронная репликация — это процесс копирования данных по сети хранения, локальной или глобальной сети, поэтому .

API облачного хранилища — это интерфейс прикладного программирования, который соединяет локальное приложение с облачным хранилищем.

Интерфейс управления облачными данными (CDMI) – это международный стандарт, определяющий функциональный интерфейс, используемый приложениями.

Износ флэш-памяти NAND — это пробой оксидного слоя внутри транзисторов с плавающим затвором флэш-памяти NAND.

Журналы – это записи событий, происходящих на вашем компьютере, будь то действия пользователя или работающего процесса. Они помогают отслеживать, что произошло, и устранять неполадки.

Журнал событий Windows содержит журналы операционной системы и приложений, таких как SQL Server или службы IIS. Журналы используют структурированный формат данных, что упрощает их поиск и анализ. Некоторые приложения также записывают файлы журналов в текстовом формате. Например, журналы доступа IIS.

В этой статье рассматриваются интерфейс и функции средства просмотра событий, а также представлены другие основные журналы приложений и служб. Приведены примеры, чтобы дать вам полное представление о том, как мониторинг событий может помочь вам управлять своими системами для обеспечения работоспособности и безопасности.

Журналы событий Windows

Просмотр событий Windows отображает журналы событий Windows. Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого. Мы покажем вам, как получить доступ к средству просмотра событий Windows и продемонстрируем доступные функции.

Запуск средства просмотра событий Windows

Доступ к средству просмотра событий Windows Server 2019 можно получить несколькими способами:

  • Панель управления Windows
  • Диспетчер серверов
  • Центр администрирования Windows
  • Управление компьютером
  • Службы компонентов
  • Командная строка

Панель управления Windows

Панель управления — это стандартный компонент Windows для просмотра и изменения системных настроек. Его можно найти в выпусках Windows Server и Windows для настольных ПК. Чтобы получить доступ к средству просмотра событий:


Диспетчер серверов

Консоль диспетчера серверов позволяет управлять настройками на локальном и удаленных серверах. Чтобы получить доступ к средству просмотра событий из диспетчера серверов:


Центр администрирования Windows

Windows Admin Center – это браузерное приложение для управления серверами, кластерами, настольными ПК и другими компонентами инфраструктуры. Чтобы получить доступ к средству просмотра событий из центра администрирования Windows:

  1. Откройте Центр администрирования Windows в поддерживаемом браузере.
    1. Нажмите "События".


    Управление компьютером

    Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:


    Служба компонентов Windows

    Еще одним встроенным приложением является Диспетчер служб компонентов Windows, который позволяет нам настраивать приложения DCOM, работающие в Windows.Средство просмотра событий Windows также доступно из диспетчера служб компонентов:


    Командная строка

    Наконец, вы можете открыть средство просмотра событий непосредственно из командной строки. Для этого:

    Использование интерфейса средства просмотра событий Windows

    Просмотр событий имеет интуитивно понятный пользовательский интерфейс. Главный экран разделен на три части:

    • Панель навигации
    • Панель сведений
    • Панель действий

    Вы можете создавать сводные и настраиваемые представления. Мы расскажем вам об этих вариантах.

    Панель навигации

    На панели навигации вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:

    • Приложение — информация, регистрируемая приложениями, размещенными на локальном компьютере.
    • Безопасность. Информация о попытках входа в систему (успешных и неудачных), повышенных привилегиях и других проверенных событиях.
    • Настройка — сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь.
    • Система — сообщения, созданные операционной системой Windows.
    • Переадресованные события — события, пересылаемые другими компьютерами, когда локальный компьютер функционирует как центральный подписчик.

    Есть также раздел для журналов приложений и служб, включая категории для аппаратных событий, событий Internet Explorer и Windows PowerShell.

    Панель навигации средства просмотра событий:


    Панель сведений

    При открытии средства просмотра событий на панели сведений отображаются обзор и сводка. Мы обсудим сводные представления позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.

    Записи о событиях по умолчанию перечислены в хронологическом порядке, причем самые последние события находятся вверху. Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. Второй щелчок в заголовке того же столбца меняет порядок сортировки на противоположный. Например, нажмите «Уровень», чтобы отсортировать по серьезности. Символ вставки ^ или обратная вставка указывает на поле сортировки и направление сортировки.

    Каждое событие имеет уровень серьезности:

    < td width="591">Критические сообщения указывают на возникновение серьезной проблемы.
    Информационные сообщения указывают на успешное действие.
    Предупреждающие сообщения указывают на то, что произошло событие, которое может стать проблемой.
    Сообщения об ошибках указывают на возникновение серьезной проблемы.
    Аудит связан с успехом с событиями безопасности.
    Ошибка аудита связана с событиями безопасности.

    Панель сведений средства просмотра событий с ошибками и предупреждениями:


    Нажмите на событие, чтобы отобразить подробную информацию. В этом примере мы видим источник выделенного события (TerminalServices-Printers), а также дату и время его возникновения. На вкладке «Общие» отображается дополнительная информация: необходимо установить драйвер принтера.

    Панель сведений средства просмотра событий, вкладка "Общие":


    Откройте вкладку "Подробности", чтобы просмотреть необработанные данные о событиях. Вы можете переключаться между дружественным представлением и представлением XML.



    Вы можете щелкнуть событие правой кнопкой мыши и выбрать «Копировать» > «Копировать сведения как текст», а затем вставить результаты в текстовый редактор. Перечислены системные поля, за которыми следует все событие в формате XML.

    Для этой критической ошибки мы видим, что система неожиданно отключилась.


    Панель действий

    Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:

    • Действия, доступные для выбранного журнала панели навигации
    • Действия, доступные для выбранного события в области сведений.

    В этом примере мы выбрали журнал приложений и событие 9027, диспетчер окон рабочего стола:


    Как видите, существует ряд возможных действий, когда определенный журнал событий активен. Например, нажмите «Фильтровать текущий журнал», чтобы найти определенное событие или группу событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажмете OK, отфильтрованные результаты отобразятся на панели сведений.


    Очистка больших журналов

    Вы можете выполнить некоторую очистку выбранного журнала с помощью действия «Очистить журнал», если он станет слишком большим. Это удалит все события, сохраненные в журнале. Чтобы проверить размер файлов журналов, выберите «Журналы Windows» или «Журналы приложений и служб» на панели навигации. Количество событий и размер отображаются на панели сведений.


    Экспорт событий

    Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.

    Где бы вы использовали такие функции? Предположим, вы хотите отправить информацию о состоянии вашей системы стороннему поставщику — вы можете предоставить им экспортированный файл событий. Кроме того, вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Удобно сохранять журналы событий в файле событий. Администраторы нажимают «Открыть сохраненный журнал» и переходят к расположению журнала, чтобы открыть сохраненный журнал.

    Пользовательские представления

    Просмотр событий позволяет легко создавать собственные представления. Это обеспечивает быстрый доступ, если вы заинтересованы в определенных типах событий или событий в зависимости от уровня серьезности.

    Создайте собственное представление:

    Теперь доступно ваше пользовательское представление.


    Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.

    1. Выберите пользовательское представление на панели навигации.
    2. Нажмите «Экспорт пользовательского представления» на панели «Действия».
    3. Введите имя XML-файла, который нужно создать для пользовательского представления.

    Файл XML можно импортировать в средство просмотра событий в другой системе, нажав «Импортировать настраиваемое представление» и перейдя к местоположению файла.

    Сводные просмотры

    Просмотр событий (локальный) — это верхний узел на панели навигации. Если этот флажок установлен, обзор и сводка отображаются на панели сведений.

    • Сводка административных событий отображает итоги для всех типов событий в течение недели.
    • Недавно просмотренные узлы отображают историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть его.
    • Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.


    Глядя на этот пример, за последний час было зафиксировано шесть ошибок, а количество ошибок за последнюю неделю составило 18. Нажмите +, чтобы развернуть список ошибок:


    Дважды щелкните ошибку, чтобы открыть ее на панели сведений.


    Другие журналы приложений

    В Windows есть и другие журналы с собственными механизмами просмотра событий:

    • Диспетчер DNS
    • Диспетчер отказоустойчивого кластера
    • Доступ к IIS
    • История планировщика заданий
    • Служба компонентов Windows

    Диспетчер DNS

    Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается диспетчер DNS. В небольших сетях это обычно сервер домена Active Directory.

    Диспетчер DNS имеет собственный список событий:


    Диспетчер отказоустойчивого кластера

    Служба Windows Server Failover Clustering позволяет двум или более серверам Windows работать как кластер — отказоустойчивая конфигурация, в которой физический аппаратный сбой одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая высокодоступную среду. В кластере приложения подключаются к общей точке доступа — виртуальному IP-адресу или имени кластера — и Windows направляет весь трафик на правильный узел. При возникновении сбоя приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы для современных решений высокой доступности SQL Server, таких как группы доступности AlwaysOn.

    Диспетчер отказоустойчивого кластера — это встроенное приложение Windows с собственным средством просмотра событий. Используя это средство просмотра событий, системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом. На следующем снимке экрана показан узел просмотра событий Cluster Manager на панели навигации. При выборе этого узла будут отображаться события, связанные с кластером.


    Журналы доступа к IIS

    Журналы доступа к Internet Information Services содержат информацию о запрошенных URI и статусе, указывающем, был ли ответ успешно доставлен. Он записывает эти журналы в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значения, разделенного запятыми (CSV). Местоположение файла журнала указывается в параметрах ведения журнала диспетчера IIS. По умолчанию расположение:

    Например, вот файл журнала на диске C: с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла, закодированного датой 2015-04-28:

    Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос /manager/html вернул код состояния 404, так как страница не существует.

    Журналы истории планировщика заданий

    Планировщик заданий запускает фоновые задачи и приложения по расписанию, подобно подсистеме cron в Linux. Примером может служить сценарий ночного резервного копирования, который создает резервные копии локальных баз данных SQL Server.

    С каждой задачей связаны события истории, которые вы можете просмотреть на панели сведений планировщика заданий:


    Вкратце

    Windows и связанные приложения записывают различные события в несколько журналов. Перехват и понимание этих событий является ключевой частью роли системного администратора. В этом руководстве рассказывается, как можно использовать различные методы для сбора, централизации и защиты этих журналов.

    Какие инструменты вы используете для мониторинга событий и работоспособности системы? Добавьте комментарий, чтобы сообщить нам!

    Термин журнал (или даже файл журнала) означает запись событий, происходящих в компьютерных системах и сетях организации. Файлы журнала состоят из записей; каждая запись содержит информацию, относящуюся к конкретному событию, произошедшему в системе или сети. Первоначально журналы в основном использовались для устранения неполадок, но в настоящее время журналы выполняют различные функции внутри организаций, такие как оптимизация производительности систем и сетей, запись действий пользователя, расследование действий. злобный. Многие из этих журналов содержат информацию, относящуюся к безопасности системы; примерами журналов этого типа являются журналы аудита, в которых отслеживаются попытки аутентификации пользователей, и журналы устройств безопасности, в которых фиксируются возможные атаки.

    После увеличения количества устройств, подключенных к сети, и роста угроз для этих систем количество журналов постепенно увеличивалось до такой степени, что потребовался реальный процесс управления журналами. Под управлением журналами мы понимаем процесс создания, передачи, хранения, анализа и предоставления доступа к журналам безопасности.

    Под инфраструктурой управления журналами понимается набор оборудования, программного обеспечения, сетей и носителей, используемых для управления журналами (управления журналами).

    Определение, значение и использование файла компьютерного журнала

    Типы, использование и управление файлами журналов

    Различные типы систем в организации создают журналы, содержащие разные типы информации. Некоторые типы журналов лучше других подходят для выявления атак, мошенничества и ненадлежащего использования. Для каждого типа ситуации одни журналы более уместны, чем другие, поскольку содержат подробную информацию о рассматриваемых действиях. Журналы других типов содержат менее подробную информацию, но все же полезны для сопоставления журналов с журналами основного типа. Например, система обнаружения вторжений может обнаруживать вредоносные команды, отправленные на сервер с внешнего хоста: это будет основной источник информации. Поэтому может быть полезно заглянуть в журналы брандмауэра на предмет других попыток соединения с того же IP-источника: это будет вторичный источник информации об атаке. В связи с этим полезно прочитать статью Журнал безопасности и устройства безопасности, а также статью о мониторинге ИТ-безопасности посредством анализа рисков.

    Журнал – это запись событий, происходящих в аппаратном и программном обеспечении, инициированных либо пользователем, либо запущенным процессом. События могут включать в себя доступ, удаление или добавление файла или приложения, изменение даты системы, выключение системы и изменение конфигурации системы.

    Файл журнала

    Файл журнала — это созданный компьютером файл данных, в котором записываются либо события, происходящие в операционной системе (ОС), либо сообщения между разными пользователями коммуникационного программного обеспечения. Это основной источник данных для наблюдения за сетью, который содержит информацию о шаблонах использования, действиях и операциях, а также является ключевым инструментом для мониторинга безопасности и производительности. ИТ-организации могут использовать инструменты аналитики для мониторинга файлов журналов с помощью таких инструментов, как управление журналами, мониторинг событий безопасности (SEM), управление информацией о безопасности (SIM) или управление информацией и событиями безопасности (SIEM).

    Журналы создаются многими видами оборудования и программного обеспечения, в том числе компьютерами, серверами , сетевыми коммутаторами и маршрутизаторами , устройствами безопасности, такими как брандмауэры , устройства хранения и даже виртуальной инфраструктурой, такой как гипервизоры и управление контейнерами.

    Файлы журналов служат для отслеживания того, что происходит за кулисами. Если что-то работает со сбоями или иным образом выходит из строя в сложной системе, доступен подробный список событий, которые помогут решить проблему. Общие подкатегории файлов журналов включают:

    Журналы событий Windows

    Windows предварительно настроена для классификации событий по шести категориям в зависимости от неисправного компонента.

      : журнал, созданный, когда в приложении происходит событие. (Системный журнал): событие, регистрируемое операционной системой. Эти события часто предопределяются самой ОС.
    • Журнал безопасности: журнал, который создается в ответ на события безопасности, такие как неудачные попытки входа в систему, изменение пароля и удаление файла. log: этот журнал доступен только на контроллерах домена и настраивается в ответ на запросы проверки подлинности безопасности. журнал сервера: журнал, который используется для записи активности на сервере системы доменных имен (DNS).
    • Журнал службы репликации файлов: также доступен только на контроллерах домена, журнал, в который записывается информация о репликациях файлов, происходящих на компьютере.

    Журналы событий Linux

    Операционная система Linux настроена на создание и хранение файлов журналов. События подразделяются на четыре категории и по сути аналогичны функциям журналов событий Windows:

    • Журналы приложений
    • Журналы событий
    • Сервисные журналы
    • Системные журналы

    Журналы событий iOS

    Хотя iOS не регистрирует каждое происходящее событие, она создает документацию в случае сбоя приложения. Доступ к данным файла журнала осуществляется из таких компонентов, как шифрование данных, интернет-службы, элементы управления конфиденциальностью и управление паролями пользователей.

    Читайте также: