События аудита были отклонены транспортом 0 windows 10

Обновлено: 06.07.2024

Самая распространенная причина, по которой люди просматривают журналы Windows, – это поиск и устранение неполадок в своих системах или приложениях.

В этой статье представлены распространенные примеры использования для устранения неполадок, связанных с безопасностью, сбоями и неисправными службами. Примеры демонстрируют диагностику основной причины проблемы с помощью событий в ваших журналах. Не забудьте проверить предупреждения и ошибки, связанные с критическим событием, чтобы увидеть общую картину.

События журнала безопасности

Журнал безопасности включает события, связанные с безопасностью, особенно связанные с аутентификацией и доступом. Эти журналы — лучшее место для поиска попыток несанкционированного доступа к вашей системе.

Следующие события имеют особое значение в журнале безопасности:

Вы успешно вошли в систему

Эти события включают все успешные попытки входа в систему. Каждое событие включает категории информации:

Подробности журнала: имя журнала, источник, серьезность, идентификатор события и другая информация журнала.
Тема – имя учетной записи, домен и информация о безопасности для входа в систему.
Информация для входа в систему — тип — это метод, используемый для входа в систему, например с помощью локальной или удаленной клавиатуры (по сети). Значение этого поля выражается целым числом, чаще всего это 2 (локальная клавиатура) и 3 (сетевая). Также доступны дополнительные сведения о входе в систему.
Уровень олицетворения — какие полномочия предоставляются серверу, когда он олицетворяет клиента.
Новый вход — имя, домен и другие данные для нового входа в систему для учетной записи, в которую выполнен вход.
Информация о процессе — имя и идентификатор исходного процесса.
Информация о сети — имя, IP-адрес и порт, на который поступил запрос на удаленный вход. возник. Эти значения остаются пустыми для локальных входов или если информация не может быть найдена.
Подробная информация об аутентификации — подробная информация об этом конкретном запросе на вход.

Чтобы получить объяснение всех возможных полей, найдите идентификатор события вашего журнала. Например, успешные попытки входа имеют идентификатор события 4624, которые описаны здесь. В этом примере показано событие успешного входа в систему, сгенерированное в системе, к которой осуществляется доступ, при создании сеанса входа в систему.

Не удалось войти в систему

Проверьте журналы безопасности Windows на наличие неудачных попыток входа в систему и незнакомых шаблонов доступа. Сбои аутентификации происходят, когда человек или приложение передает неверные или иным образом недействительные учетные данные для входа. Неудачные попытки входа имеют идентификатор события 4625.
Эти события показывают все неудачные попытки входа в систему. Это может быть связано с тем, что кто-то пытается взломать систему. Однако это также может означать, что кто-то забыл свой пароль, срок действия учетной записи истек или приложение было настроено с неправильным паролем. Эти события включают следующую информацию.

Подробности журнала — имя, источник и другая информация журнала.
Тема – имя учетной записи, домен и информация о безопасности при входе в систему.
Тип входа — метод, используемый для входа, например, с помощью локальной или удаленной клавиатуры (по сети). Значение этого поля выражается целым числом, чаще всего это 2 (локальная клавиатура) и 3 (сетевая).
Учетная запись, для которой произошел сбой входа — имя, домен и другие сведения о неудачном входе.
Информация о сбое — причина сбоя и статус попытки.
Информация о процессе — имя и идентификатор исходного процесса.
Информация о сети — имя, IP-адрес и порт, откуда поступил запрос на удаленный вход. Эти значения остаются пустыми для локальных входов или если информация не может быть найдена.
Подробная информация об аутентификации — подробная информация об этом конкретном запросе на вход.

Чтобы узнать больше, вы можете прочитать описание всех полей этого события.

Вот пример неудачной попытки входа в систему, сгенерированной системой, к которой осуществляется доступ, когда попытка не удалась:

Приложению не удалось войти в систему

Хорошо написанные приложения также регистрируют события сбоя аутентификации. Вот пример неудачной попытки входа в систему SQL Server. Он включает информацию о том, кто пытался войти в систему и почему попытка не удалась.

Назначение особых привилегий

Журнал безопасности фиксирует события, когда учетной записи были предоставлены повышенные привилегии. Несколько разных идентификаторов событий соответствуют событиям назначения привилегий, но событие с идентификатором 4672 предназначено для назначения специальных привилегий. В этом примере пользователю предоставлены права локального администратора. Подробности показывают новую привилегию, кто ее предоставил, а также группу, в которую был добавлен аккаунт.

Вы можете написать собственные скрипты для фильтрации этих событий для отчетов аудита безопасности. Вы также можете создать собственное представление для просмотра этих событий.

Эти события включают все успешные входы пользователей с правами администратора. Информация включает такие элементы, как:

Сведения о журнале – название, источник и другая информация журнала.
Тема – имя учетной записи, домен и информация о безопасности при входе в систему.
Участник — добавлен идентификатор безопасности и имя учетной записи
Группа — идентификатор безопасности, имя группы и добавленный домен
Привилегии – список всех привилегий, назначенных пользователю.

Чтобы узнать больше, вы можете прочитать описание всех полей этого события журнала.

Вот еще один пример события с повышенными правами.

Почему произошел сбой моего сервера или приложения?

Если вы пытаетесь выяснить, почему произошел сбой вашего сервера или приложения, журнал событий – отличное место для начала поиска. Журналы приложений и системы могут сообщить вам, когда и почему произошел сбой. Например, это может дать вам подсказку, если это произошло из-за проблемы с системой или приложением.

Почти все критические ошибки создают более одной записи в журнале событий. Обычно перед последней критической ошибкой имеется ряд предыдущих предупреждений или ошибок. При устранении неполадок обязательно просматривайте сообщения, предшествующие ошибке сбоя.

Чтобы найти эти события, отфильтруйте данные журнала по определенному имени приложения, затем по критическим событиям или ошибкам и, наконец, отсортируйте их по дате. Вот три наиболее распространенных события при устранении сбоя:

Неожиданная перезагрузка
Приложение зависает
Ошибка приложения

Неожиданная перезагрузка

В журнале появляется непредвиденная ошибка перезагрузки, когда система не может корректно завершить работу и перезапуститься. Вероятная причина этой ошибки — зависание операционной системы или отказ питания сервера. Найдите события, предшествующие перезагрузке, чтобы увидеть возможную основную причину.

Вот выдержка из неожиданной перезагрузки:

Зависание приложения

Ошибка зависания приложения появляется в журнале событий, когда программа, запущенная на вашем сервере, перестает отвечать на запросы. В этом случае оборудование вашего сервера и операционная система работали нормально, но приложение либо застряло в цикле, либо ожидало недоступный ресурс.

В этом примере показано, как приложение перестало отвечать Windows, и Windows закрыла его.

Ошибка приложения

Ошибка сбоя приложения появляется в журнале событий, когда программа, работающая на вашем сервере, обнаруживает критическую ошибку. Эта ошибка обычно связана с ошибкой в коде приложения или с нехваткой памяти. Вот пример неисправной DLL для svchost.exe.

Поиск основной причины отказа службы

Служба Windows – это приложение особого типа, которое работает в фоновом режиме и имеет собственный сеанс Windows. Люди часто хотят знать, почему та или иная служба не запустилась или не работала успешно.

Вы можете найти сбои службы в журнале приложений, отфильтровав источник Service Control Manager, а затем отфильтровав критические события или ошибки. Ниже приведены распространенные примеры событий, связанных со сбоем службы.

Не удалось запустить службу
Время ожидания службы
Ошибка Центра обновления Windows
Запланированная задача отложена или не выполнена

Не удалось запустить службу

Эта ошибка регистрируется, когда служба не запускается нормально. В этом примере клиент групповой политики не запустился вовремя. Событие и его сообщение указывают, когда возникла проблема. Просмотрите предыдущие сообщения, чтобы определить основную причину.

Тайм-аут службы

Ошибка тайм-аута службы появляется, когда служба не запускается в течение ожидаемого периода времени (по умолчанию — три секунды). Обычно службы предназначены для быстрого запуска и непрерывной работы для распределения вычислительной нагрузки. Эта ошибка может быть связана с тем, что служба ожидает недоступный ресурс. В этом примере показано событие, созданное службой отчетов об ошибках Windows.

Сбой Центра обновления Windows

Одна из задач системного администратора — следить за тем, не получают ли компьютеры в сети обновления Windows.

Служба обновления Windows Server (WSUS) — это инструмент управления исправлениями, который автоматически загружает и применяет исправления и обновления безопасности для продуктов Microsoft с веб-сайта Microsoft. В большинстве производственных установок администраторы хотят иметь какой-то контроль над тем, какие исправления применяются и когда они применяются. Это сделано для того, чтобы избежать неожиданного поведения, такого как автоматическая перезагрузка или сбой приложений после цикла исправления. Во многих организациях для загрузки всех исправлений используется централизованный сервер WSUS, а затем администраторы планируют их распространение. Важно следить за статусом запуска Центра обновления Windows.

В этом примере обновление Microsoft не удалось установить, и был сгенерирован код ошибки (0x80240017). Мы можем найти дополнительную информацию.

Запланированная задача отложена или не выполнена

Еще одна служба, которую люди часто используют, — это Планировщик заданий Windows. Это похоже на демон cron в Linux. Вы можете регулярно планировать и запускать программы, сценарии или команды. Задачи можно планировать на определенное время или запускать в ответ на триггер. Например, задача может запускать сценарий резервного копирования PowerShell каждую ночь или копировать файлы на FTP-сервер раз в неделю.

События, сгенерированные планировщиком заданий Windows, могут помочь подтвердить, выполняются ли ваши задачи в соответствии с заданными вами триггерами и расписаниями или они не запускаются. Окно планировщика заданий имеет собственное средство просмотра событий. Вот пример события из журнала.

С какими еще вариантами устранения неполадок вы сталкиваетесь? Добавьте свои комментарии и дайте нам знать!

Мой компьютер время от времени зависает, обычно 2 раза в неделю. Вынужден перезагрузить компьютер.

В последний раз, когда он зависал ранее сегодня, я получил (События аудита были удалены транспортом. 0) в моем журнале событий.

Мой компьютер, вероятно, зависал последние 2 месяца или около того, за это время я выполнил две чистые установки Windows 10, а также установил новый графический процессор (Nvidia 560ti на новый Nvidia 1060)

Список последних 10 журналов просмотра событий

Список установленных программ
Список пользователей, разделов и объема памяти.

MiniToolBox от Farbar Версия: 17 июня 2016 г.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: службам криптографии не удалось обработать вызов OnIdentity() в объекте System Writer.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: активация приложения Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy!Приложение завершилось ошибкой: -2144927141 Дополнительную информацию см. в журнале Microsoft-Windows-TWinUI/Operational.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: synergy.exe0.0.0.054173df3client.dll0.0.0.056088172c0000005002509531d4c01d267dab7ed9ec2D:\Program Files (x86)\Steam\steamapps\common\Synergy\synergy.exed:\program files (x86)\program files (x86)\steamapps\steam \синергия\синергия\бин\клиент.dll72f83410-2a6d-424c-94de-58b2849ddd82

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Bonjour\mdnsNSP.dll, который не соответствует требованиям Custom 3. / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует пользовательскому 3 / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) попытался загрузить файл \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует требованиям уровня подписи Custom 3 / Antimalware.

Adobe Shockwave Player 12.2 (HKLM-x32\.\Adobe Shockwave Player) (Версия: 12.2.5.195 - Adobe Systems, Inc.)

CrystalDiskMark 5.2.0 Shizuku Edition (HKLM\.\CrystalDiskMark5_is1) (Версия: 5.2.0 - Crystal Dew World)

Malwarebytes Anti-Malware версии 2.2.1.1043 (HKLM-x32\. \Malwarebytes Anti-Malware_is1) (Версия: 2.2.1.1043 — Malwarebytes)

Распространяемый пакет Microsoft Visual C++ 2008 — x86 9.0.30729.6161 (HKLM-x32\. \<9BE518E6-ECC6-35A9-88E4-87755C07200F>) (Версия: 9.0.30729.6161 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2010 x64 — 10.0.40219 (HKLM\. \<1D8E6291-B0D5-35EC-8441-6616F567A0F7>) (Версия: 10.0.40219 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2010 x86 — 10.0.40219 (HKLM-x32\. \) (Версия: 10.0.40219 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2012 (x64) — 11.0.61030 (HKLM-x32\. \) (Версия: 11.0.61030.0 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2012 (x86) — 11.0.61030 (HKLM-x32\. \<33d1fd90-4274-48a1-9bc1-97e33d9c2d6f>) (Версия: 11.0.61030.0 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2013 (x86) — 12.0.30501 (HKLM-x32\. \) (Версия: 12.0.30501.0 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2015 (x64) — 14.0.24210 (HKLM-x32\. \) (Версия: 14.0.24210.0 — Microsoft Corporation)

Распространяемый пакет Microsoft Visual C++ 2015 (x86) — 14.0.24210 (HKLM-x32\. \<23658c02-145e-483d-ba6b-1eb82c580529>) (Версия: 14.0.24210.0 — Microsoft Corporation)

Распространяемый компонент Microsoft XNA Framework 4.0 Refresh (HKLM-x32\. \) (Версия: 4.0.30901.0 - Microsoft Corporation)

Mozilla Firefox 50.1.0 (x86 en-US) (HKLM-x32\. \Mozilla Firefox 50.1.0 (x86 en-US)) (Версия: 50.1.0 - Mozilla)

Драйвер контроллера NVIDIA 3D Vision 369.04 (HKLM\. \_Display.NVIRUSB) (Версия: 369.04 — NVIDIA Corporation)< /p>

Системное ПО NVIDIA PhysX 9.16.0318 (HKLM\. \_Display.PhysX) (Версия: 9.16.0318 — NVIDIA Corporation)

XTREME GAMING ENGINE (HKLM-x32\. \GIGABYTE XTREME GAMING ENGINE_is1) (Версия: 1.0.5.3 - GIGABYTE Technology Co., Inc.)

Отредактировано RedSquadron, 8 января 2017 г., 16:06.

BC AdBot (войдите для удаления)

Странно, ну плохо сказать то, что другой парень облил всеми способами. обновлять биос, кроме того, 2 раза в неделю неплохо.

Знаете ли вы, какие приложения у вас запущены или что вы делаете, когда это происходит, или залейте это тоже, если вы припаркуете компьютер, ничего не делаете на нем и вздремнете, а когда вы просыпаетесь, он зависает, даже если ничего не происходит.< /p>

Что касается обновления BIOS, я посмотрю на это. Я немного беспокоюсь о том, чтобы испортить мою систему при дальнейшем ее обновлении. Есть ли какие-либо руководства, которые вы бы порекомендовали для этого? Я только начал смотреть на это, думаю, я попытаюсь обновить его завтра.

Достойное руководство, которое вы нашли, хотя я не могу поверить, что они говорят об этом из Windows, любой, кто обновляет свою биос из Windows, просит об этом на многих уровнях, и я думаю, что я видел хуже, чем живые обновления биоса в Интернете, люди тот, кто придумал обе темы, должен быть расстрелян.

Для вашей материнской платы иногда используются разные номера версий одного и того же mobo «пример версии 1/2/3 и т. д.», будьте на 100% уверены, что у вас есть правильный BIOS для правильной версии.

Раньше я делал это только из своего личного кабинета, но сейчас вокруг вирусы биоса, поэтому, насколько мне известно, все биосы должны быть заблокированы с помощью перемычки, чтобы предотвратить возможность обновления чего-либо, не меняя перемычку. или, в случае биоса материнской платы, это должно быть возможно сделать только из самого биоса, любая попытка прошить биос из любого другого источника должна быть заблокирована.

Минимум, вы можете обновить биос из Windows или DOS/командной строки, чтобы вирус мог, если захочет, поэтому в наши дни все биосы должны быть защищены от такого рода атак.

Поэтому имхо делайте это только из "однозадачной среды" DOS или из самого биоса, лучше всего из самого биоса, если он также поддерживается, если у них есть опция защиты биоса после того, как они сделали, включите ее.

Не забудьте прошить биос, если в биосе есть опция защиты биоса, чтобы отключить его, прежде чем пытаться прошить, а после этого не забудьте снова включить защиту биоса, затем сохраните и выйдите, перезагрузите компьютер, затем выключите питание на 100%. затем сбросьте биос до дефолта трудным путем, для этого должна быть где-то перемычка или просто вытащите батарею на секунду.

Для других устройств, таких как видеокарта/dvd/cd и т. д., используйте dos, а в случае с мобильным устройством, если это проблема, и оно не работает на 100 % или останавливается на отметке 50 %, не выключайте компьютер, продолжайте 2-й компьютер и получите свежую копию биоса или что-то еще, что вам нужно сделать, чтобы прошить биос на 100%, если биос только на 50% прошит, то это ошибка для вашего мобильного устройства, но вы все еще работаете, и вы включаете компьютер вы можете замуровать плату, после этого единственный способ исправить это - удалить микросхему биоса eeprom и перепрошить ее с помощью перепрограмматора eeprom.

Я еще не обновил BIOS. В настоящее время жду еще одного сбоя, просто чтобы посмотреть, появляются ли какие-либо другие ошибки в средстве просмотра событий Windows.

Мой компьютер также показывал 100% загрузку ЦП в диспетчере задач, в то время как мой компьютер давал сбой. Каждый раз, когда я загружаюсь, он показывает 100% использование, я могу только подтвердить, что это происходило с момента моей последней установки 10, хотя около месяца назад. Не уверен, что он вообще подключен, поскольку я на самом деле не уверен, работает ли он на 100 % или это просто графическая ошибка.

Обновляю эту ветку на случай, если кто-нибудь попадет сюда из поиска Google.

Наконец-то неделю назад я обновил свой BIOS, и до сих пор не было никаких сбоев. Около месяца назад мой компьютер на самом деле был синим экраном, а не просто зависал. Получил ошибку CLOCK_WATCHDOG_TIMEOUT.

Обсуждение и события аудита поддержки были удалены транспортом. 0 при сбоях и отладке Windows 10 BSOD для решения проблемы; Я продолжаю получать ту же ошибку в средстве просмотра событий в течение самого длительного времени, когда BSOD моего компьютера «события аудита были удалены транспортом. 0» продолжает появляться. Обсуждение в разделе «Сбои и отладка Windows 10 BSOD», начатое jovanmilenkovic, 1 мая 2021 г.

события аудита были удалены транспортом. 0

события аудита были удалены транспортом. 0 - Похожие темы - события аудита были

Множественные сбои BSOD. Несколько событий в средстве просмотра событий, в том числе: События аудита.

Несколько сбоев BSOD. Несколько событий в средстве просмотра событий, в том числе: События аудита. : Привет, у меня было несколько синих экранов без видимой причины. Я сделал новую переустановку Windows 10, но проблема не устранена. Иногда это происходит, когда компьютер включается или находится в режиме ожидания. Это происходит с перерывами, сейчас оно несколько стабильно, поэтому я не могу точно определить.

Отключить аудит успешных событий

Отключить аудит успешных событий: я хочу отключить аудит успешных событий! Эта команда сработала (по крайней мере, CMD сказал, что это сработало) Код: auditpol /Set /Caregory:* /success:disable Мне нужно проверить в журнале событий, есть ли сообщения о каких-либо более успешных событиях. Проблема в том, что их слишком много.

Отключить аудит успешных событий

Отключить аудит успешных событий: эта команда сработала. Код: auditpol /Set /Caregory:* /success:disable Мне нужно проверить журнал событий, если есть сообщения о более длительных успешных событиях. Проблема общая: слишком много категорий для проверки вручную. Я выполнил эту команду: Код: auditpol /Get /Category:* И это.

Аудит событий блокировки/разблокировки

Аудит событий блокировки/разблокировки: я знаю, как включить расширенный аудит других событий входа в систему и выхода из системы, чтобы отслеживать блокировку/разблокировку компьютера с Windows. См. ссылку для справки.

Неожиданный сбой аудита в средстве просмотра событий

Неожиданный сбой аудита в средстве просмотра событий. Даже имея многолетний опыт работы с операционными системами Windows, я нахожусь в незавидном положении, пытаясь диагностировать сбой аудита в средстве просмотра событий для Windows 10 на моем ноутбуке Toshiba. который только недавно поднял свою уродливую голову. Возможно, стоит отметить, что я не вижу.

Компьютер зависает, EventLog: "События аудита были удалены транспортом. 0"

Компьютер зависает, журнал событий: "События аудита были удалены транспортом. 0": Здравствуйте, у меня недавно возник ряд проблем с Windows 10 после последнего исправления. Однако я не уверен, является ли основная причина патчем или есть проблема безопасности, которую я должен решить. Что касается патча, мой компьютер стал нагреваться до предела.

Отчеты об ошибках аудита в средстве просмотра событий

Отчеты об ошибках аудита в средстве просмотра событий. После обновления ПК до Windows 10 версии 1803, сборка 17134.191, журнал событий при запуске неоднократно выдает три различных ошибки аудита, указанные ниже. Мне удалось устранить все другие проблемы, отображаемые в журнале событий, но с этими тремя я не понимаю, что делать.

Просмотр событий – Ошибка аудита 5061

Просмотр событий -- ошибка аудита 5061: я продолжаю получать это событие в журнале событий в разделе Ошибка аудита. У меня никогда не было в Windows 8.1 и это началось после обновления до 10. Кто-нибудь имеет представление об этом? Криптографическая операция. Тема: ID безопасности: SYSTEM Имя учетной записи: xxxx Домен учетной записи: xxxx.

Происходит слишком много событий аудита безопасности «Успех аудита»

Происходит слишком много событий аудита безопасности «Аудит успешен»: Привет! Я уже некоторое время использую Windows 10, и, за исключением одного раза, когда моя кнопка «Пуск» и панель уведомлений перестали работать (это решилось путем перехода на новую учетную запись пользователя), у меня не было никаких проблем. Разве что неделю назад. Постоянно во время использования (либо для.

При аудите событий безопасности один запрос клиента может генерировать несколько событий аудита на нескольких узлах кластера. Общий атрибут request.id можно использовать для корреляции связанных событий.

Используйте параметр xpack.security.audit.logfile.events.include в elasticsearch.yml, чтобы указать, какие события вы хотите включить в результаты аудита.

Некоторым событиям аудита требуется тип события security_config_change для аудита соответствующего действия события. В описании затронутых событий аудита указано, требуется ли этот тип события.

Записывается, когда аутентифицированный пользователь пытается выполнить действие, для выполнения которого у него нет необходимых прав.

Записывается, когда аутентифицированный пользователь пытается выполнить действие, для выполнения которого у него есть необходимые права. Эти события будут регистрироваться только для несистемных пользователей.

Если вы хотите включить события access_granted для всех пользователей (включая внутренних пользователей, таких как _xpack ), добавьте system_access_granted в список типов событий в дополнение к access_granted . Привилегия system_access_granted не включена по умолчанию, чтобы не загромождать журналы.

Записывается, когда запрос отклонен из-за отсутствия учетных данных для аутентификации.

Записывается, когда учетные данные аутентификации не могут быть сопоставлены с известным пользователем.

Записывается, когда пользователь успешно проходит аутентификацию.

Записывается, когда активируется пользовательский API для отключения собственного или встроенного пользователя.