События аудита были отклонены транспортом 0 windows 10

Обновлено: 21.11.2024

Самая распространенная причина, по которой люди просматривают журналы Windows, – это поиск и устранение неполадок в своих системах или приложениях.

В этой статье представлены распространенные примеры использования для устранения неполадок, связанных с безопасностью, сбоями и неисправными службами. Примеры демонстрируют диагностику основной причины проблемы с помощью событий в ваших журналах. Не забудьте проверить предупреждения и ошибки, связанные с критическим событием, чтобы увидеть общую картину.

События журнала безопасности

Журнал безопасности включает события, связанные с безопасностью, особенно связанные с аутентификацией и доступом. Эти журналы — лучшее место для поиска попыток несанкционированного доступа к вашей системе.

Следующие события имеют особое значение в журнале безопасности:

Вы успешно вошли в систему

Эти события включают все успешные попытки входа в систему. Каждое событие включает категории информации:

  • Подробности журнала: имя журнала, источник, серьезность, идентификатор события и другая информация журнала.
  • Тема – имя учетной записи, домен и информация о безопасности для входа в систему.
  • Информация для входа в систему — тип — это метод, используемый для входа в систему, например с помощью локальной или удаленной клавиатуры (по сети). Значение этого поля выражается целым числом, чаще всего это 2 (локальная клавиатура) и 3 (сетевая). Также доступны дополнительные сведения о входе в систему.
  • Уровень олицетворения — какие полномочия предоставляются серверу, когда он олицетворяет клиента.
  • Новый вход — имя, домен и другие данные для нового входа в систему для учетной записи, в которую выполнен вход.
  • Информация о процессе — имя и идентификатор исходного процесса.
  • Информация о сети — имя, IP-адрес и порт, на который поступил запрос на удаленный вход. возник. Эти значения остаются пустыми для локальных входов или если информация не может быть найдена.
  • Подробная информация об аутентификации — подробная информация об этом конкретном запросе на вход.

Чтобы получить объяснение всех возможных полей, найдите идентификатор события вашего журнала. Например, успешные попытки входа имеют идентификатор события 4624, которые описаны здесь. В этом примере показано событие успешного входа в систему, сгенерированное в системе, к которой осуществляется доступ, при создании сеанса входа в систему.

Не удалось войти в систему

Проверьте журналы безопасности Windows на наличие неудачных попыток входа в систему и незнакомых шаблонов доступа. Сбои аутентификации происходят, когда человек или приложение передает неверные или иным образом недействительные учетные данные для входа. Неудачные попытки входа имеют идентификатор события 4625.
Эти события показывают все неудачные попытки входа в систему. Это может быть связано с тем, что кто-то пытается взломать систему. Однако это также может означать, что кто-то забыл свой пароль, срок действия учетной записи истек или приложение было настроено с неправильным паролем. Эти события включают следующую информацию.

  • Подробности журнала — имя, источник и другая информация журнала.
  • Тема – имя учетной записи, домен и информация о безопасности при входе в систему.
  • Тип входа — метод, используемый для входа, например, с помощью локальной или удаленной клавиатуры (по сети). Значение этого поля выражается целым числом, чаще всего это 2 (локальная клавиатура) и 3 (сетевая).
  • Учетная запись, для которой произошел сбой входа — имя, домен и другие сведения о неудачном входе.
  • Информация о сбое — причина сбоя и статус попытки.
  • Информация о процессе — имя и идентификатор исходного процесса.
  • Информация о сети — имя, IP-адрес и порт, откуда поступил запрос на удаленный вход. Эти значения остаются пустыми для локальных входов или если информация не может быть найдена.
  • Подробная информация об аутентификации — подробная информация об этом конкретном запросе на вход.

Чтобы узнать больше, вы можете прочитать описание всех полей этого события.

Вот пример неудачной попытки входа в систему, сгенерированной системой, к которой осуществляется доступ, когда попытка не удалась:

Приложению не удалось войти в систему

Хорошо написанные приложения также регистрируют события сбоя аутентификации. Вот пример неудачной попытки входа в систему SQL Server. Он включает информацию о том, кто пытался войти в систему и почему попытка не удалась.

Назначение особых привилегий

Журнал безопасности фиксирует события, когда учетной записи были предоставлены повышенные привилегии. Несколько разных идентификаторов событий соответствуют событиям назначения привилегий, но событие с идентификатором 4672 предназначено для назначения специальных привилегий. В этом примере пользователю предоставлены права локального администратора. Подробности показывают новую привилегию, кто ее предоставил, а также группу, в которую был добавлен аккаунт.

Вы можете написать собственные скрипты для фильтрации этих событий для отчетов аудита безопасности. Вы также можете создать собственное представление для просмотра этих событий.

Эти события включают все успешные входы пользователей с правами администратора. Информация включает такие элементы, как:

  • Сведения о журнале – название, источник и другая информация журнала.
  • Тема – имя учетной записи, домен и информация о безопасности при входе в систему.
  • Участник — добавлен идентификатор безопасности и имя учетной записи
  • Группа — идентификатор безопасности, имя группы и добавленный домен
  • Привилегии – список всех привилегий, назначенных пользователю.

Чтобы узнать больше, вы можете прочитать описание всех полей этого события журнала.

Вот еще один пример события с повышенными правами.

Почему произошел сбой моего сервера или приложения?

Если вы пытаетесь выяснить, почему произошел сбой вашего сервера или приложения, журнал событий – отличное место для начала поиска. Журналы приложений и системы могут сообщить вам, когда и почему произошел сбой. Например, это может дать вам подсказку, если это произошло из-за проблемы с системой или приложением.

Почти все критические ошибки создают более одной записи в журнале событий. Обычно перед последней критической ошибкой имеется ряд предыдущих предупреждений или ошибок. При устранении неполадок обязательно просматривайте сообщения, предшествующие ошибке сбоя.

Чтобы найти эти события, отфильтруйте данные журнала по определенному имени приложения, затем по критическим событиям или ошибкам и, наконец, отсортируйте их по дате. Вот три наиболее распространенных события при устранении сбоя:

  • Неожиданная перезагрузка
  • Приложение зависает
  • Ошибка приложения

Неожиданная перезагрузка

В журнале появляется непредвиденная ошибка перезагрузки, когда система не может корректно завершить работу и перезапуститься. Вероятная причина этой ошибки — зависание операционной системы или отказ питания сервера. Найдите события, предшествующие перезагрузке, чтобы увидеть возможную основную причину.

Вот выдержка из неожиданной перезагрузки:

Зависание приложения

Ошибка зависания приложения появляется в журнале событий, когда программа, запущенная на вашем сервере, перестает отвечать на запросы. В этом случае оборудование вашего сервера и операционная система работали нормально, но приложение либо застряло в цикле, либо ожидало недоступный ресурс.

В этом примере показано, как приложение перестало отвечать Windows, и Windows закрыла его.

Ошибка приложения

Ошибка сбоя приложения появляется в журнале событий, когда программа, работающая на вашем сервере, обнаруживает критическую ошибку. Эта ошибка обычно связана с ошибкой в ​​коде приложения или с нехваткой памяти. Вот пример неисправной DLL для svchost.exe.

Поиск основной причины отказа службы

Служба Windows – это приложение особого типа, которое работает в фоновом режиме и имеет собственный сеанс Windows. Люди часто хотят знать, почему та или иная служба не запустилась или не работала успешно.

Вы можете найти сбои службы в журнале приложений, отфильтровав источник Service Control Manager, а затем отфильтровав критические события или ошибки. Ниже приведены распространенные примеры событий, связанных со сбоем службы.

  • Не удалось запустить службу
  • Время ожидания службы
  • Ошибка Центра обновления Windows
  • Запланированная задача отложена или не выполнена

Не удалось запустить службу

Эта ошибка регистрируется, когда служба не запускается нормально. В этом примере клиент групповой политики не запустился вовремя. Событие и его сообщение указывают, когда возникла проблема. Просмотрите предыдущие сообщения, чтобы определить основную причину.

Тайм-аут службы

Ошибка тайм-аута службы появляется, когда служба не запускается в течение ожидаемого периода времени (по умолчанию — три секунды). Обычно службы предназначены для быстрого запуска и непрерывной работы для распределения вычислительной нагрузки. Эта ошибка может быть связана с тем, что служба ожидает недоступный ресурс. В этом примере показано событие, созданное службой отчетов об ошибках Windows.

Сбой Центра обновления Windows

Одна из задач системного администратора — следить за тем, не получают ли компьютеры в сети обновления Windows.

Служба обновления Windows Server (WSUS) — это инструмент управления исправлениями, который автоматически загружает и применяет исправления и обновления безопасности для продуктов Microsoft с веб-сайта Microsoft. В большинстве производственных установок администраторы хотят иметь какой-то контроль над тем, какие исправления применяются и когда они применяются. Это сделано для того, чтобы избежать неожиданного поведения, такого как автоматическая перезагрузка или сбой приложений после цикла исправления. Во многих организациях для загрузки всех исправлений используется централизованный сервер WSUS, а затем администраторы планируют их распространение. Важно следить за статусом запуска Центра обновления Windows.

В этом примере обновление Microsoft не удалось установить, и был сгенерирован код ошибки (0x80240017). Мы можем найти дополнительную информацию.

Запланированная задача отложена или не выполнена

Еще одна служба, которую люди часто используют, — это Планировщик заданий Windows. Это похоже на демон cron в Linux. Вы можете регулярно планировать и запускать программы, сценарии или команды. Задачи можно планировать на определенное время или запускать в ответ на триггер. Например, задача может запускать сценарий резервного копирования PowerShell каждую ночь или копировать файлы на FTP-сервер раз в неделю.

События, сгенерированные планировщиком заданий Windows, могут помочь подтвердить, выполняются ли ваши задачи в соответствии с заданными вами триггерами и расписаниями или они не запускаются. Окно планировщика заданий имеет собственное средство просмотра событий. Вот пример события из журнала.

С какими еще вариантами устранения неполадок вы сталкиваетесь? Добавьте свои комментарии и дайте нам знать!

Мой компьютер время от времени зависает, обычно 2 раза в неделю. Вынужден перезагрузить компьютер.

В последний раз, когда он зависал ранее сегодня, я получил (События аудита были удалены транспортом. 0) в моем журнале событий.

Мой компьютер, вероятно, зависал последние 2 месяца или около того, за это время я выполнил две чистые установки Windows 10, а также установил новый графический процессор (Nvidia 560ti на новый Nvidia 1060)

Список последних 10 журналов просмотра событий

Список установленных программ
Список пользователей, разделов и объема памяти.

MiniToolBox от Farbar Версия: 17 июня 2016 г.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: службам криптографии не удалось обработать вызов OnIdentity() в объекте System Writer.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: активация приложения Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy!Приложение завершилось ошибкой: -2144927141 Дополнительную информацию см. в журнале Microsoft-Windows-TWinUI/Operational.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: Не удалось подключиться к драйверу: (-2147024894) Системе не удается найти указанный файл.

Описание: активация приложения Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy!Приложение завершилось ошибкой: -2144927141 Дополнительную информацию см. в журнале Microsoft-Windows-TWinUI/Operational.

Описание: synergy.exe0.0.0.054173df3client.dll0.0.0.056088172c0000005002509531d4c01d267dab7ed9ec2D:\Program Files (x86)\Steam\steamapps\common\Synergy\synergy.exed:\program files (x86)\program files (x86)\steamapps\steam \синергия\синергия\бин\клиент.dll72f83410-2a6d-424c-94de-58b2849ddd82

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Bonjour\mdnsNSP.dll, который не соответствует требованиям Custom 3. / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Bonjour\mdnsNSP.dll, который не соответствует требованиям Custom 3. / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует пользовательскому 3 / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует пользовательскому 3 / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует пользовательскому 3 / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует пользовательскому 3 / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует пользовательскому 3 / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) попытался загрузить файл \Device\HarddiskVolume3\Program Files\Microsoft Silverlight\xapauthenticodesip.dll, который не соответствует требованиям уровня подписи Custom 3 / Antimalware.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Bonjour\mdnsNSP.dll, который не соответствует требованиям Custom 3. / Требования к уровню подписи для защиты от вредоносных программ.

Описание: Проверка целостности кода определила, что процесс (\Device\HarddiskVolume3\Program Files\Windows Defender\MsMpEng.exe) пытался загрузить \Device\HarddiskVolume3\Program Files\Bonjour\mdnsNSP.dll, который не соответствует требованиям Custom 3. / Требования к уровню подписи для защиты от вредоносных программ.

Adobe Shockwave Player 12.2 (HKLM-x32\.\Adobe Shockwave Player) (Версия: 12.2.5.195 - Adobe Systems, Inc.)

CrystalDiskMark 5.2.0 Shizuku Edition (HKLM\.\CrystalDiskMark5_is1) (Версия: 5.2.0 - Crystal Dew World)

Malwarebytes Anti-Malware версии 2.2.1.1043 (HKLM-x32\. \Malwarebytes Anti-Malware_is1) (Версия: 2.2.1.1043 — Malwarebytes)

Распространяемый пакет Microsoft Visual C++ 2008 — x86 9.0.30729.6161 (HKLM-x32\. \<9BE518E6-ECC6-35A9-88E4-87755C07200F>) (Версия: 9.0.30729.6161 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2010 x64 — 10.0.40219 (HKLM\. \<1D8E6291-B0D5-35EC-8441-6616F567A0F7>) (Версия: 10.0.40219 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2010 x86 — 10.0.40219 (HKLM-x32\. \) (Версия: 10.0.40219 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2012 (x64) — 11.0.61030 (HKLM-x32\. \) (Версия: 11.0.61030.0 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2012 (x86) — 11.0.61030 (HKLM-x32\. \<33d1fd90-4274-48a1-9bc1-97e33d9c2d6f>) (Версия: 11.0.61030.0 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2013 (x86) — 12.0.30501 (HKLM-x32\. \) (Версия: 12.0.30501.0 — Microsoft Corporation)

Распространяемый компонент Microsoft Visual C++ 2015 (x64) — 14.0.24210 (HKLM-x32\. \) (Версия: 14.0.24210.0 — Microsoft Corporation)

Распространяемый пакет Microsoft Visual C++ 2015 (x86) — 14.0.24210 (HKLM-x32\. \<23658c02-145e-483d-ba6b-1eb82c580529>) (Версия: 14.0.24210.0 — Microsoft Corporation)

Распространяемый компонент Microsoft XNA Framework 4.0 Refresh (HKLM-x32\. \) (Версия: 4.0.30901.0 - Microsoft Corporation)

Mozilla Firefox 50.1.0 (x86 en-US) (HKLM-x32\. \Mozilla Firefox 50.1.0 (x86 en-US)) (Версия: 50.1.0 - Mozilla)

Драйвер контроллера NVIDIA 3D Vision 369.04 (HKLM\. \_Display.NVIRUSB) (Версия: 369.04 — NVIDIA Corporation)< /p>

Системное ПО NVIDIA PhysX 9.16.0318 (HKLM\. \_Display.PhysX) (Версия: 9.16.0318 — NVIDIA Corporation)

XTREME GAMING ENGINE (HKLM-x32\. \GIGABYTE XTREME GAMING ENGINE_is1) (Версия: 1.0.5.3 - GIGABYTE Technology Co., Inc.)

Отредактировано RedSquadron, 8 января 2017 г., 16:06.

BC AdBot (войдите для удаления)

Странно, ну плохо сказать то, что другой парень облил всеми способами. обновлять биос, кроме того, 2 раза в неделю неплохо.

Знаете ли вы, какие приложения у вас запущены или что вы делаете, когда это происходит, или залейте это тоже, если вы припаркуете компьютер, ничего не делаете на нем и вздремнете, а когда вы просыпаетесь, он зависает, даже если ничего не происходит.< /p>

Что касается обновления BIOS, я посмотрю на это. Я немного беспокоюсь о том, чтобы испортить мою систему при дальнейшем ее обновлении. Есть ли какие-либо руководства, которые вы бы порекомендовали для этого? Я только начал смотреть на это, думаю, я попытаюсь обновить его завтра.

Достойное руководство, которое вы нашли, хотя я не могу поверить, что они говорят об этом из Windows, любой, кто обновляет свою биос из Windows, просит об этом на многих уровнях, и я думаю, что я видел хуже, чем живые обновления биоса в Интернете, люди тот, кто придумал обе темы, должен быть расстрелян.

Для вашей материнской платы иногда используются разные номера версий одного и того же mobo «пример версии 1/2/3 и т. д.», будьте на 100% уверены, что у вас есть правильный BIOS для правильной версии.

Раньше я делал это только из своего личного кабинета, но сейчас вокруг вирусы биоса, поэтому, насколько мне известно, все биосы должны быть заблокированы с помощью перемычки, чтобы предотвратить возможность обновления чего-либо, не меняя перемычку. или, в случае биоса материнской платы, это должно быть возможно сделать только из самого биоса, любая попытка прошить биос из любого другого источника должна быть заблокирована.

Минимум, вы можете обновить биос из Windows или DOS/командной строки, чтобы вирус мог, если захочет, поэтому в наши дни все биосы должны быть защищены от такого рода атак.

Поэтому имхо делайте это только из "однозадачной среды" DOS или из самого биоса, лучше всего из самого биоса, если он также поддерживается, если у них есть опция защиты биоса после того, как они сделали, включите ее.

Не забудьте прошить биос, если в биосе есть опция защиты биоса, чтобы отключить его, прежде чем пытаться прошить, а после этого не забудьте снова включить защиту биоса, затем сохраните и выйдите, перезагрузите компьютер, затем выключите питание на 100%. затем сбросьте биос до дефолта трудным путем, для этого должна быть где-то перемычка или просто вытащите батарею на секунду.

Для других устройств, таких как видеокарта/dvd/cd и т. д., используйте dos, а в случае с мобильным устройством, если это проблема, и оно не работает на 100 % или останавливается на отметке 50 %, не выключайте компьютер, продолжайте 2-й компьютер и получите свежую копию биоса или что-то еще, что вам нужно сделать, чтобы прошить биос на 100%, если биос только на 50% прошит, то это ошибка для вашего мобильного устройства, но вы все еще работаете, и вы включаете компьютер вы можете замуровать плату, после этого единственный способ исправить это - удалить микросхему биоса eeprom и перепрошить ее с помощью перепрограмматора eeprom.

Я еще не обновил BIOS. В настоящее время жду еще одного сбоя, просто чтобы посмотреть, появляются ли какие-либо другие ошибки в средстве просмотра событий Windows.

Мой компьютер также показывал 100% загрузку ЦП в диспетчере задач, в то время как мой компьютер давал сбой. Каждый раз, когда я загружаюсь, он показывает 100% использование, я могу только подтвердить, что это происходило с момента моей последней установки 10, хотя около месяца назад. Не уверен, что он вообще подключен, поскольку я на самом деле не уверен, работает ли он на 100 % или это просто графическая ошибка.

Обновляю эту ветку на случай, если кто-нибудь попадет сюда из поиска Google.

Наконец-то неделю назад я обновил свой BIOS, и до сих пор не было никаких сбоев. Около месяца назад мой компьютер на самом деле был синим экраном, а не просто зависал. Получил ошибку CLOCK_WATCHDOG_TIMEOUT.

Обсуждение и события аудита поддержки были удалены транспортом. 0 при сбоях и отладке Windows 10 BSOD для решения проблемы; Я продолжаю получать ту же ошибку в средстве просмотра событий в течение самого длительного времени, когда BSOD моего компьютера «события аудита были удалены транспортом. 0» продолжает появляться. Обсуждение в разделе «Сбои и отладка Windows 10 BSOD», начатое jovanmilenkovic, 1 мая 2021 г.

события аудита были удалены транспортом. 0

события аудита были удалены транспортом. 0 - Похожие темы - события аудита были

Множественные сбои BSOD. Несколько событий в средстве просмотра событий, в том числе: События аудита.

Несколько сбоев BSOD. Несколько событий в средстве просмотра событий, в том числе: События аудита. : Привет, у меня было несколько синих экранов без видимой причины. Я сделал новую переустановку Windows 10, но проблема не устранена. Иногда это происходит, когда компьютер включается или находится в режиме ожидания. Это происходит с перерывами, сейчас оно несколько стабильно, поэтому я не могу точно определить.

Отключить аудит успешных событий

Отключить аудит успешных событий: я хочу отключить аудит успешных событий! Эта команда сработала (по крайней мере, CMD сказал, что это сработало) Код: auditpol /Set /Caregory:* /success:disable Мне нужно проверить в журнале событий, есть ли сообщения о каких-либо более успешных событиях. Проблема в том, что их слишком много.

Отключить аудит успешных событий

Отключить аудит успешных событий: эта команда сработала. Код: auditpol /Set /Caregory:* /success:disable Мне нужно проверить журнал событий, если есть сообщения о более длительных успешных событиях. Проблема общая: слишком много категорий для проверки вручную. Я выполнил эту команду: Код: auditpol /Get /Category:* И это.

Аудит событий блокировки/разблокировки

Аудит событий блокировки/разблокировки: я знаю, как включить расширенный аудит других событий входа в систему и выхода из системы, чтобы отслеживать блокировку/разблокировку компьютера с Windows. См. ссылку для справки.

Неожиданный сбой аудита в средстве просмотра событий

Неожиданный сбой аудита в средстве просмотра событий. Даже имея многолетний опыт работы с операционными системами Windows, я нахожусь в незавидном положении, пытаясь диагностировать сбой аудита в средстве просмотра событий для Windows 10 на моем ноутбуке Toshiba. который только недавно поднял свою уродливую голову. Возможно, стоит отметить, что я не вижу.

Компьютер зависает, EventLog: "События аудита были удалены транспортом. 0"

Компьютер зависает, журнал событий: "События аудита были удалены транспортом. 0": Здравствуйте, у меня недавно возник ряд проблем с Windows 10 после последнего исправления. Однако я не уверен, является ли основная причина патчем или есть проблема безопасности, которую я должен решить. Что касается патча, мой компьютер стал нагреваться до предела.

Отчеты об ошибках аудита в средстве просмотра событий

Отчеты об ошибках аудита в средстве просмотра событий. После обновления ПК до Windows 10 версии 1803, сборка 17134.191, журнал событий при запуске неоднократно выдает три различных ошибки аудита, указанные ниже. Мне удалось устранить все другие проблемы, отображаемые в журнале событий, но с этими тремя я не понимаю, что делать.

Просмотр событий – Ошибка аудита 5061

Просмотр событий -- ошибка аудита 5061: я продолжаю получать это событие в журнале событий в разделе Ошибка аудита. У меня никогда не было в Windows 8.1 и это началось после обновления до 10. Кто-нибудь имеет представление об этом? Криптографическая операция. Тема: ID безопасности: SYSTEM Имя учетной записи: xxxx Домен учетной записи: xxxx.

Происходит слишком много событий аудита безопасности «Успех аудита»

Происходит слишком много событий аудита безопасности «Аудит успешен»: Привет! Я уже некоторое время использую Windows 10, и, за исключением одного раза, когда моя кнопка «Пуск» и панель уведомлений перестали работать (это решилось путем перехода на новую учетную запись пользователя), у меня не было никаких проблем. Разве что неделю назад. Постоянно во время использования (либо для.

При аудите событий безопасности один запрос клиента может генерировать несколько событий аудита на нескольких узлах кластера. Общий атрибут request.id можно использовать для корреляции связанных событий.

Используйте параметр xpack.security.audit.logfile.events.include в elasticsearch.yml, чтобы указать, какие события вы хотите включить в результаты аудита.

Некоторым событиям аудита требуется тип события security_config_change для аудита соответствующего действия события. В описании затронутых событий аудита указано, требуется ли этот тип события.

Записывается, когда аутентифицированный пользователь пытается выполнить действие, для выполнения которого у него нет необходимых прав.

Записывается, когда аутентифицированный пользователь пытается выполнить действие, для выполнения которого у него есть необходимые права. Эти события будут регистрироваться только для несистемных пользователей.

Если вы хотите включить события access_granted для всех пользователей (включая внутренних пользователей, таких как _xpack ), добавьте system_access_granted в список типов событий в дополнение к access_granted . Привилегия system_access_granted не включена по умолчанию, чтобы не загромождать журналы.

Записывается, когда запрос отклонен из-за отсутствия учетных данных для аутентификации.

Записывается, когда учетные данные аутентификации не могут быть сопоставлены с известным пользователем.

Записывается, когда пользователь успешно проходит аутентификацию.

Записывается, когда активируется пользовательский API для отключения собственного или встроенного пользователя.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается при вызове API включения пользователя для включения собственного или встроенного пользователя.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается при вызове API смены пароля для изменения пароля собственного или встроенного пользователя.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается при вызове API создания маркера сервисного аккаунта для создания нового маркера на основе индекса для сервисного аккаунта.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда входящее TCP-соединение не проходит фильтр IP для определенного профиля.

Записывается, когда входящее TCP-соединение проходит фильтр IP для определенного профиля.

Записывается, когда API-интерфейсы создания ключа API или предоставления ключа API вызываются для создания нового ключа API.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда API удаления привилегий приложения вызывается для удаления одной или нескольких привилегий приложения.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается при вызове API удаления роли для удаления роли.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда API удаления сопоставления ролей вызывается для удаления сопоставления ролей.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда API удаления токена сервисного аккаунта вызывается для удаления маркера на основе индекса для сервисного аккаунта.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда вызывается API удаления пользователя для удаления определенного собственного пользователя.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда вызывается недействительный API-ключ API для аннулирования одного или нескольких ключей API.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается при вызове API создания или обновления привилегий для добавления или обновления одной или нескольких привилегий приложения.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается при вызове API создания или обновления роли для создания или обновления роли.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда API создания или обновления сопоставления ролей вызывается для создания или обновления сопоставления ролей.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается, когда API создания или обновления пользователя вызывается для создания или обновления собственного пользователя. Обратите внимание, что пользовательские обновления также могут изменить пароль пользователя.

Вы должны включить тип события security_config_change для аудита связанного действия события.

Записывается для каждой области, которая не может предоставить действительный токен аутентификации.

Записывается, когда аутентифицированный пользователь пытается запустить от имени другого пользователя, у которого нет необходимых для этого прав.

Записывается, когда аутентифицированный пользователь пытается запустить от имени другого пользователя, если у него есть необходимые для этого права.

Записывает события access_granted только для внутренних пользователей, таких как _xpack . Если вы включите этот параметр в дополнение к access_granted , то события access_granted регистрируются для всех пользователей.

Этот тип события отключен по умолчанию, чтобы не загромождать журналы.

Записывается, когда функции безопасности обнаруживают фальсификацию запроса. Обычно относится к запросам на поиск/прокрутку, когда считается, что идентификатор прокрутки был изменен.

Атрибуты события аудитаизменить

События аудита форматируются как документы JSON, и каждое событие печатается в отдельной строке журнала аудита. Сами записи не содержат разделителя конца строки. Дополнительные сведения см. в разделе Формат записи журнала.

В следующем списке показаны атрибуты, общие для всех типов событий аудита:

@timestamp Время в формате ISO9601, когда произошло событие. node.name Имя узла. Это можно изменить в файле конфигурации elasticsearch.yml. node.id Идентификатор узла. Он генерируется автоматически и сохраняется при полном перезапуске кластера. host.ip Привязанный IP-адрес узла, с которым узел может обмениваться данными. host.name Имя хоста неразрешенного узла. event.type Уровень внутренней обработки, сгенерировавший событие: rest , transport , ip_filter или security_config_change . Это отличается от origin.type, поскольку запрос, исходящий из REST API, преобразуется в несколько транспортных сообщений, генерируя события аудита с origin.type: rest и event.type: transport . событие.действие

Тип произошедшего события: anonym_access_denied , authentication_failed , authentication_success , realm_authentication_failed , access_denied , access_granted , connection_denied , connection_granted , tampered_request , run_as_denied или run_as_granted .

Кроме того, если event.type равен security_config_change , атрибут event.action принимает одно из следующих значений: put_user , change_password , put_role , put_role_mapping , change_enable_user , change_disable_user , put_privacys , create_apikey , delete_user , delete_role , delete_role_mapping , invalidate_apikeys или delete_privivities. .

request.id Синтетический идентификатор, который можно использовать для сопоставления событий, связанных с конкретным запросом REST.

Кроме того, все события типов rest , transport и ip_filter (но не security_config_change ) имеют следующие дополнительные атрибуты, показывающие дополнительные сведения о запрашивающем клиенте:

Атрибуты событий аудита остальных типов событий

События с event.type, равным rest, имеют одно из следующих значений атрибута event.action: authentication_success , анонимный_доступ_отказано , authentication_failed , realm_authentication_failed , tampered_request или run_as_denied . Эти события также имеют следующие дополнительные атрибуты (помимо общих):

Атрибуты события аудита для типа события транспорта

События, для которых event.type равен transport, имеют одно из следующих значений атрибута event.action: authentication_success , анонимный_доступ_отказано , authentication_failed , realm_authentication_failed , access_granted , access_denied , run_as_granted , run_as_denied или tampered_request . Эти события также имеют следующие дополнительные атрибуты (помимо общих):

action Имя выполненного транспортного действия.Это похоже на URL-адрес для запроса REST. index Массив имен индексов, к которому относится запрос, связанный с этим событием (если применимо). request.name Имя обработчика запроса, который был выполнен.

Атрибуты событий аудита типа события ip_filter

События с типом события, равным ip_filter, имеют одно из следующих значений атрибута event.action: connection_granted или connection_denied . Эти события также имеют следующие дополнительные атрибуты (помимо общих):

transport_profile Транспортный профиль, на который направлен запрос. правило Правило фильтрации IP-адресов, которое отклонило запрос.

Атрибуты события аудита события security_config_change typeedit

События с атрибутом event.type, равным security_config_change, имеют одно из следующих значений атрибута event.action: put_user , change_password , put_role , put_role_mapping , change_enable_user , change_disable_user , put_privities , create_apikey , delete_user , delete_role , delete_role_mapping , invalidate_apikeys или удалить_привилегии .

Эти события также имеют один из следующих дополнительных атрибутов (в дополнение к общим), который относится к атрибуту event.type. Значением атрибута является вложенный объект JSON:

put Объектное представление создаваемой конфигурации безопасности или перезапись существующей конфигурации. Он содержит конфигурацию для пользователя, роли, role_mapping или привилегий приложения. удалить Объектное представление удаляемой конфигурации безопасности. Это может быть конфигурация для пользователя, роли, role_mapping или для привилегий приложения. change Объектное представление изменяемой конфигурации безопасности. Это может быть пароль, включение или отключение, объект конфигурации для собственных или встроенных пользователей. create Объектное представление новой создаваемой конфигурации безопасности. В настоящее время это используется только для аудита ключей API. Если ключ API создается с помощью API создания ключа API, он содержит только объект конфигурации apikey. Если ключ API создан с использованием API ключа API предоставления, он также содержит объект конфигурации предоставления. недействительным Объектное представление конфигурации безопасности, которая становится недействительной. Единственная конфигурация, которая в настоящее время поддерживает аннулирование, — это apikeys через API аннулирования ключа API.

Схемы объектов конфигурации безопасности, упомянутых выше, следующие. Они очень похожи на тела запросов соответствующих API безопасности.

Поля full_name , email и metadata опускаются, если пусты.

Поля global , field_security , exclude , query , allow_restricted_indices и метаданных опускаются, если пусты.

Поля roles и role_templates опускаются, если они пусты. Объект правил имеет рекурсивно вложенную схему, идентичную той, что передается в запросе API для сопоставления ролей.

Массив таких объектов, как:

Простой объект, например:

Простой объект, например:

Простой объект, например:

Объекты role_descriptors имеют ту же схему, что и объект role_descriptor, который является частью указанного выше объекта конфигурации роли.

Дополнительные атрибуты событий аудита для определенных событий

Есть несколько событий, которые имеют дополнительные атрибуты в дополнение к тем, которые были описаны ранее:

Читайте также: