1. Протоколювання подій Windows
У Microsoft Windows подія (event) - це будь-яке значне пригода в операційній системі, яке вимагає повідомлення користувачів або адміністраторів. Події зберігаються в журналах подій Windows і надають важливі хронологічні відомості, що допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки і виконувати діагностику. Необхідно регулярно аналізувати інформацію, що міститься в цих журналах; це дуже важливо. Адміністраторам слід ретельно стежити за журналами подій всіх бізнес-серверів і настроювати робочі станції на збереження важливих системних подій. p align="justify"> На серверах треба стежити за безпекою системи, нормальною роботою додатків і сервісів, а також перевіряти сервер на наявність помилок, здатних погіршити продуктивність. На робочих станціях слід переконатися в тому, що події, необхідні для підтримки систем і усунення помилок, протоколюються і що відповідні журнали вам доступні. Windows-служба, керуюча протоколированием подій, називається EventLog (Журнал подій). При її запуску Windows записує важливі дані в журнали. Доступність журналів у системі визначається її роллю, а також встановленими службами. p align="justify"> Існує кілька журналів, в тому числі наступні. (Додаток) - зберігає важливі події, пов'язані з конкретним додатком. Наприклад, ExchangeServer зберігає події, пов'язані з пересилання пошти, в тому числі події інформаційного сховища, поштових скриньок і запущених служб. Типово поміщається вSystemRoot% Systein32 Config Appevent.evt. (Служба каталогів) на контролерах домену цей журнал зберігає події служби каталогів ActiveDirectory, в тому числі пов'язані з її запуску, глобальним каталогах і перевіркам цілісності. Типово поміщається у% SystemRoot% System32 Config Ntds.evt.Server (DNS-сервер) - на DNS-серверах в цьому журналі зберігаються DNS-запити, відповіді та інші події DNS. Типово поміщається у% SystemRoot% System32 Config Dnsevent.evt. (Служба реплікації файлів) - на контролерах домену та інших серверах, що використовують реплікацію, цей журнал реєструє дії в системі, пов'язані з реплікацією файлів, у тому числі події стану та управління службою, сканування даних на системних томах, а також управління наборами реплікації. Типово поміщається у% SystemRoot% Sysem32 Config Ntfrs.evt. (Безпека) - зберігає події, пов'язані з безпекою, такі як вхід/вихід з системи, використання привілеїв і звернення до ресурсів. Типово поміщається в у% SystemRoot% System32 Config Secevent.evt.
Увага! Для доступу до журналів безпеки у користувачів має бути право ManageAuditingAndSecurityLog (Управління аудитом і журналом безпеки). За замовчуванням воно видається членам групи адміністраторів. (Система) - зберігає події операційної системи або її компонентів, наприклад невдачі при запусках...