Windows server 2019, настройка регистрации событий

Обновлено: 28.06.2024

Учтите, что если размер журнала событий недостаточен, перед записью данных в долгосрочный архив и базу данных аудита может произойти перезапись, а некоторые данные аудита могут быть потеряны.

Чтобы предотвратить перезапись, вы можете увеличить максимальный размер журналов событий и установить метод хранения для этих журналов на «Перезаписывать события по мере необходимости». Это относится к следующим журналам событий:

  • Приложение
  • Безопасность
  • Настройка
  • Система
  • Журналы приложений и служб >Microsoft>Windows>TaskScheduler>Рабочие
  • Журналы приложений и служб>Microsoft>Windows>DNS-сервер>Аудит (только для контроллеров домена под управлением Windows Server 2012 R2 и выше)

Журналы приложений и служб > AD FS >Журнал администрирования (для серверов AD FS)

ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Чтобы прочитать о параметрах журнала событий, рекомендованных Microsoft, обратитесь к этой статье.

Приведенная ниже процедура предоставляет возможный способ указать параметры журнала событий вручную. Однако, если у вас несколько целевых компьютеров, рассмотрите возможность настройки этих параметров с помощью групповой политики, как также описано в этом разделе

Вручную

Чтобы настроить размер журнала событий и метод хранения

    На целевом сервере выберите «Пуск» → «Средства администрирования Windows» (Windows Server 2016 и выше) или «Средства администрирования» (Windows 2012) → «Просмотр событий».

Перейдите к дереву просмотра событий → Журналы Windows, щелкните правой кнопкой мыши Безопасность и выберите Свойства.


Убедитесь, что установлен флажок Включить ведение журнала.

Убедитесь, что флажок Не перезаписывать события (Очистить журналы вручную) снят. Если выбрано, измените метод хранения на Перезаписывать события по мере необходимости (сначала самые старые события).

ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Убедитесь, что групповая политика "Максимальный размер журнала безопасности" не перезаписывает параметры журнала. Чтобы проверить это, запустите консоль управления групповыми политиками, перейдите к объекту групповой политики, влияющему на ваш сервер, и перейдите в раздел "Конфигурация компьютера". → Политики → Параметры Windows → Параметры безопасности → Журнал событий.

Повторите эти шаги для следующих журналов событий:

  • Журналы Windows → Приложение
  • Журналы Windows → Система

Журналы приложений и служб → Microsoft → Windows → TaskScheduler → Operational

ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Настройте параметры TaskScheduler/Operational log только в том случае, если вы хотите отслеживать запланированные задачи.

Журналы приложений и служб → Microsoft → Windows → DNS-сервер → Аудит

ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Настройте параметры журнала DNS, только если вы хотите отслеживать изменения DNS. Журнал доступен в Windows Server 2012 R2 и более поздних версиях и не включен по умолчанию. См. документацию Microsoft для получения дополнительной информации о том, как включить этот журнал.

ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Применяется к серверам AD FS.

Использование групповой политики

Персонал с правами администратора может использовать объекты групповой политики для массового применения параметров конфигурации к нескольким серверам.

Чтобы настроить параметры для журналов событий приложений, системы и безопасности

  1. Откройте редактор управления групповыми политиками на контроллере домена, перейдите в раздел Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Служба журнала событий.
  2. Выберите нужный журнал.
  3. Изменить Укажите параметр максимального размера файла журнала. Обычно его значение составляет 4194240 КБ.
  4. Укажите параметры хранения для журнала — обычно перезаписывайте по мере необходимости.

Чтобы настроить параметры для других журналов

  1. Откройте редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ . Например: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Служба каталогов
  2. Задайте для параметра MaxSize требуемое десятичное значение (в байтах).


Вы можете настроить параметры групповой политики для передачи изменений реестра на компьютеры целевого домена. В приведенном выше примере (журнал службы каталогов) выполните следующие действия:


  1. В консоли управления групповыми политиками на контроллере домена выберите «Компьютер» → «Настройки» → «Параметры Windows» → «Реестр».
  2. Щелкните правой кнопкой мыши Реестр и выберите Создать → Элемент реестра.
  3. В окне "Свойства" на вкладке "Общие" выберите:
    • Действие → Создать
    • Hive → HKEY_LOCAL_MACHINE
    • Путь к ключу — перейдите к значению MaxSize в SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
  4. Измените MaxSize REG_DWORD на требуемое десятичное значение (в байтах).
  5. Сохраните настройки и свяжите их с необходимыми серверами (OU).

    6. По завершении запустите команду gpupdate /force, чтобы принудительно обновить групповую политику.

    © Корпорация Netwrix, 2022

    Штаб-квартира корпорации: 300 Spectrum Center Drive, Suite 200 Irvine, CA 92618

    В этой статье пошагово описывается, как настроить ведение журнала диагностических событий Active Directory в операционных системах Microsoft Windows Server.

    Применимо к: Windows Server 2019, , Windows Server 2016, Windows Server 2012 R2, Windows 7 с пакетом обновления 1
    Исходный номер базы знаний: 314980

    Обзор

    Active Directory записывает события в журнал службы каталогов или экземпляра LDS в средстве просмотра событий. Вы можете использовать информацию, собранную в журнале, для диагностики и устранения возможных проблем или отслеживания активности событий, связанных с Active Directory, на вашем сервере.

    По умолчанию Active Directory записывает в журнал службы каталогов только критические события и ошибки. Чтобы настроить Active Directory для записи других событий, необходимо повысить уровень ведения журнала, отредактировав реестр.

    Журнал событий диагностики Active Directory

    Записи реестра, которые управляют ведением журнала диагностики для Active Directory, хранятся в следующих подразделах реестра.

    Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Diagnostics

    Каждое из следующих значений REG_DWORD в подразделе «Диагностика» представляет тип события, которое может быть записано в журнал событий:

    1. Проверка согласованности знаний (KCC)
    2. События безопасности
    3. События интерфейса ExDS
    4. События интерфейса MAPI
    5. События репликации
    6. Сборка мусора
    7. Внутренняя конфигурация
    8. Доступ к каталогу
    9. Внутренняя обработка
    10. Счетчики эффективности
    11. Инициализация/прекращение
    12. Управление услугами
    13. Разрешение имен
    14. Резервное копирование
    15. Полевая инженерия
    16. События интерфейса LDAP
    17. Настройка
    18. Глобальный каталог
    19. Обмен сообщениями между сайтами
    20. Групповое кэширование
    21. Репликация связанных значений
    22. Клиент DS RPC
    23. Сервер DS RPC
    24. Схема DS
    25. Механизм трансформации
    26. Контроль доступа на основе утверждений

    Уровни ведения журнала

    Каждой записи можно присвоить значение от 0 до 5, и это значение определяет уровень детализации регистрируемых событий. Уровни ведения журнала описываются следующим образом:

    • 0 (Нет): на этом уровне регистрируются только критические события и ошибки. Это параметр по умолчанию для всех записей, и его следует изменять только в случае возникновения проблемы, которую вы хотите исследовать.
    • 1 (минимальный): при этой настройке в журнал событий записываются события высокого уровня. События могут включать одно сообщение для каждой основной задачи, выполняемой службой. Используйте этот параметр, чтобы начать расследование, когда вы не знаете, где возникла проблема.
    • 2 (базовый)
    • 3 (обширный): на этом уровне записывается более подробная информация, чем на более низких уровнях, например о шагах, которые выполняются для выполнения задачи. Используйте этот параметр, если вы сузили проблему до услуги или группы категорий.
    • 4 (подробно)
    • 5 (внутренний): на этом уровне регистрируются все события, включая строки отладки и изменения конфигурации. Ведется полный журнал службы. Используйте этот параметр, если вы отследили проблему до определенной категории из небольшого набора категорий.

    Как настроить ведение журнала диагностических событий Active Directory

    Чтобы настроить ведение журнала диагностических событий Active Directory, выполните следующие действия.

    Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в разделе Резервное копирование и восстановление реестра в Windows.

    Выберите "Пуск", а затем выберите "Выполнить".

    В поле "Открыть" введите regedit и нажмите кнопку "ОК".

    Найдите и выберите следующие разделы реестра.

    Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Diagnostics

    Каждая запись, отображаемая на правой панели окна редактора реестра, представляет собой тип события, которое может регистрировать Active Directory. Для всех записей установлено значение по умолчанию 0 (Нет).

    Настройте ведение журнала событий для соответствующего компонента:

    1. На правой панели редактора реестра дважды щелкните запись, представляющую тип события, для которого вы хотите зарегистрировать журнал. Например, события безопасности.
    2. Введите нужный уровень ведения журнала (например, 2) в поле "Значение" и нажмите кнопку "ОК".

    Повторите шаг 4 для каждого компонента, который вы хотите зарегистрировать.

    В меню "Реестр" выберите "Выход", чтобы выйти из редактора реестра.

    В этой статье представлены рекомендации по настройке пересылки EventLog в большой среде в Windows Server 2012 R2.

    Применимо к: Windows Server 2012 R2
    Исходный номер базы знаний: 4494356

    Обзор

    В Windows Server 2016 и Windows Server 2019 в накопительных обновлениях от 25 февраля 2020 года реализованы важные исправления масштабируемости.

    См. "Улучшение масштабируемости пересылки событий для обеспечения безопасности потоков и увеличения ресурсов". маркер в следующих двух статьях:

    Задержка событий

    Как только события генерируются на клиенте, механизму пересылки событий требуется некоторое время, чтобы направить их сборщику.

    Эта задержка может быть вызвана конфигурацией подписки, например параметром DeliveryMaxLatency, производительностью сборщика, пересылки или сети.

    Перед переадресацией убедитесь, что события не перезаписываются на клиенте. Обычно нам приходится решать эту проблему, только когда клиенты генерируют большое количество событий, таких как занятый сервер или контроллер домена, пересылающий журнал безопасности.

    Ограничения и требования к системе

    Вы развертываете EventLog Forwarding в большой среде. Например, вы развертываете от 40 000 до 100 000 исходных компьютеров. В этой ситуации рекомендуется развернуть несколько сборщиков с 2 000–4 000 клиентов на сборщик.

    Кроме того, мы рекомендуем установить на сборщик не менее 16 ГБ ОЗУ и четыре (4) процессора, чтобы поддерживать среднюю нагрузку от 2 000 до 4 000 клиентов с одной или двумя настроенными подписками.

    Рекомендуются быстрые диски, а журнал ForwardedEvents можно поместить на другой диск для повышения производительности.

    Использование памяти службой сборщика событий Windows зависит от количества подключений, полученных клиентом. Количество подключений зависит от следующих факторов:

    • Частота подключений
    • Количество подписок
    • Количество клиентов
    • Операционная система клиентов

    Например, при значениях по умолчанию 4000 клиентов и пяти-семи подписках объем памяти, используемой службой сборщика событий Windows, может быстро превысить 4 ГБ и продолжать расти. Это может привести к тому, что компьютер перестанет отвечать на запросы.

    Частота клиентских подключений

    Три параметра управляют частотой клиентских подключений:

    • Refresh= (указывается в URL-адресе конфигурации объекта групповой политики)
    • DeliveryMaxLatency (указывается в подписке)
    • HeartbeatInterval (указывается в подписке)

    Параметр Refresh= в GPO

    Этот параметр измеряется в секундах. Он определяет, как часто клиент подключается к URL-адресу /WEC для перечисления доступных подписок.

    Сборщик отвечает, предоставляя список подписок, включенных для клиента. Ответ включает закладки для каждого канала и запрос Xpath. Как только клиент получает информацию, он начинает отправлять события или пакеты пульса на URL-адрес /Subscriptions. Если подписки меняются нечасто, этот параметр можно настроить на проверку каждые несколько часов или даже реже.

    Максимальная задержка доставки

    Управляет частотой клиентских подключений. Для крупного развертывания вы можете создать подписку для срочных событий с периодичностью в 5 минут и другую для менее срочных событий с периодичностью в 2 часа.

    Интервал сердцебиения

    Управляет состоянием "Неактивно" в окне состояния выполнения консоли. Может быть установлено то же значение, что и у DeliveryMaxLatency, или большее значение, чтобы дать клиентам дополнительное время, прежде чем они будут помечены как неактивные.

    Пользовательские параметры

    Для настройки пользовательских параметров необходимо использовать командную строку для запуска Wecutil. Дополнительные сведения см. в разделе Wecutil.exe.

    Вы можете указать настроенную подписку как wecutil es .

    Сначала необходимо переключить подписку на "Пользовательскую":

    Затем установите параметр DeliveryMaxLatency:

    (Значение в миллисекундах: 7200000 = 2 часа)

    Настройте HeartbeatInterval на такое же значение. Этот параметр влияет на статус «Неактивный» для каждого клиента в консоли:

    Оптимизация доставки подписки

    Клиенты отправляют события на URL-адрес /subscriptions. Эти соединения очень важны для использования памяти коллекторами.

    Доступны следующие предварительно настроенные режимы.

    Нормальный

    • Обеспечивает надежную доставку событий и не пытается экономить пропускную способность.
    • Подходящий выбор, если только вам не требуется более жесткий контроль над использованием полосы пропускания или вам требуется, чтобы переадресованные события доставлялись как можно быстрее.
    • Использует режим доставки по запросу, объединяет пять элементов за один раз и устанавливает время ожидания пакета 15 минут.

    Свести к минимуму пропускную способность

    • Обеспечивает строгий контроль использования пропускной способности сети для доставки событий.
    • Подходящий выбор, если вы хотите ограничить частоту сетевых подключений для доставки событий.
    • Использует режим доставки push-уведомлений и задает время ожидания пакета 6 часов и интервал контрольных сообщений 6 часов.

    Свести к минимуму задержку

    • Гарантирует доставку событий с минимальной задержкой.
    • Подходящий выбор, если вы собираете оповещения или важные события.
    • Использует режим доставки push-уведомлений и устанавливает время ожидания пакета 30 секунд.

    Клиент подключается к сборщику данных с указанной частотой, чтобы либо отправлять события, либо пульсировать. Стандартные настройки по умолчанию могут привести к чрезмерному использованию памяти при наличии от 2000 до 4000 клиентов на сборщик.

    Настройте имя коллектора

    Вы можете настроить имя сборщика на клиенте, настроив следующий объект групповой политики (GPO):
    Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Пересылка событий/Настройка диспетчера целевой подписки

    Кроме того, вы можете настроить параметры реестра в следующем подразделе:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

    Объекты групповой политики, которые назначают сборщик каждому клиенту, можно отфильтровать с помощью параметра безопасности самого объекта групповой политики или фильтра WMI. Например, если имя компьютера всегда заканчивается цифрой (например, компьютер1, компьютер2 и т. д.), мы можем создать объекты групповой политики, чтобы указать клиентам 10 разных сборщиков.

    Консолидация подписок

    Настройка нескольких подписок увеличивает количество подключений. Соображения, которые обсуждались ранее в этой статье, относятся к каждой подписке.

    Мы рекомендуем настроить подписку, отредактировав запрос Xpath и поместив несколько запросов в одну и ту же подписку.

    Чтобы предотвратить потерю данных, необходимо указать максимальный размер для следующих журналов событий: Application, Security, System, Microsoft-Windows-TaskScheduler/Operational и Microsoft-Windows-DNS-Server/Audit (только для контроллеров домена, работающих под управлением Windows Server 2012 R2 и выше).

    Ручная настройка

    Описанная ниже процедура предоставляет вам лишь один из возможных способов указать параметры журнала событий. Если у вас несколько целевых компьютеров, вам необходимо выполнить эту процедуру на каждом из них.

    Чтобы настроить размер журнала событий и метод хранения

      На целевом сервере выберите «Пуск» → «Средства администрирования Windows» (Windows Server 2016) или «Средства администрирования» (Windows 2012 R2 и более ранние версии) → «Просмотр событий».

    Перейдите к дереву просмотра событий → Журналы Windows, щелкните правой кнопкой мыши Безопасность и выберите Свойства.


    Убедитесь, что установлен флажок Включить ведение журнала.

    Убедитесь, что флажок Не перезаписывать события (Очистить журналы вручную) снят. Если выбрано, измените метод хранения на Перезаписывать события по мере необходимости (сначала самые старые события).

    ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Убедитесь, что групповая политика "Максимальный размер журнала безопасности" не перезаписывает параметры журнала. Чтобы проверить это, запустите консоль управления групповыми политиками, перейдите к объекту групповой политики, влияющему на ваш сервер, и перейдите в раздел "Конфигурация компьютера". → Политики → Параметры Windows → Параметры безопасности → Журнал событий.

    Повторите эти шаги для следующих журналов событий:

    • Журналы Windows → Приложение
    • Журналы Windows → Система

    Журналы приложений и служб → Microsoft → Windows → TaskScheduler → Operational → Microsoft-Windows-TaskScheduler/Operational

    ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Настройте параметры журнала DNS, только если вы хотите отслеживать запланированные задачи.

    Журналы приложений и служб → Microsoft → Windows → DNS-сервер → Аудит

    ПРИМЕЧАНИЕ: "> ПРИМЕЧАНИЕ. Настройте параметры журнала DNS, только если вы хотите отслеживать изменения DNS. Журнал доступен в Windows Server 2012 R2 и более поздних версиях и не включен по умолчанию. См. документацию Microsoft для получения дополнительной информации о том, как включить этот журнал.

    Настройка с помощью групповой политики

    Персонал с правами администратора может использовать объекты групповой политики для массового применения параметров конфигурации к нескольким серверам.

    Чтобы настроить параметры для журналов событий приложений, системы и безопасности

    1. Откройте редактор управления групповыми политиками на контроллере домена, перейдите в раздел Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Служба журнала событий.
    2. Выберите нужный журнал.
    3. Изменить Укажите параметр максимального размера файла журнала. Обычно его значение составляет 4194240 КБ.
    4. Укажите параметры хранения для журнала — обычно перезаписывайте по мере необходимости.

    Чтобы настроить параметры для других журналов

    1. Откройте редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
    2. Задайте для параметра MaxSize требуемое десятичное значение (в байтах).


    Вы можете настроить параметры групповой политики для передачи изменений реестра на компьютеры целевого домена. В приведенном выше примере (журнал службы каталогов) выполните следующие действия:


    1. В консоли управления групповыми политиками на контроллере домена выберите «Компьютер» → «Настройки» → «Параметры Windows» → «Реестр».
    2. Щелкните правой кнопкой мыши Реестр и выберите Создать → Элемент реестра.
    3. В окне "Свойства" на вкладке "Общие" выберите:
      • Действие → Создать
      • Hive → HKEY_LOCAL_MACHINE
      • Путь к ключу — перейдите к значению MaxSize в SYSTEM\CurrentControlSet\Services\EventLog\Directory Service
    4. Измените MaxSize REG_DWORD на требуемое десятичное значение (в байтах).
    5. Сохраните настройки и свяжите их с необходимыми серверами (OU).

      6. По завершении запустите команду gpupdate /force, чтобы принудительно обновить групповую политику.

      © Корпорация Netwrix, 2018

      Штаб-квартира корпорации: 300 Spectrum Center Drive, Suite 200 Irvine, CA 92618

      Читайте также: