Настройка размера и содержимого файла журнала

1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые со­бытия по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) изме­ните максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Админист­рирование (Administrative Tools).

Типы регистрируемых событий Таблица 4.8

Иденти­фи­катор Категория Описание
Системное событие Перезагрузка операционной системы
Системное событие Завершение работы операционной систе­мы (shutdown)
Системное событие Загрузка пакета аутентификации
Системное событие Запуск процесса аутентификации (в стан­дартной конфигурации WinLogon.exe)
Системное событие Сбой при ретистрации одного или несколь­ких событий аудита1
Системное событие Очистка журнала аудита
518 528 Системное событие Вход/выход пользо­вателя \лз системы Загрузка пакета оповещения об изменени­ях в списке пользователей Пользователь успешно вошел в систему
Вход/выход пользо­вателя из системы Вход пользователя в систему запрещен -имя или пароль, введенные при входе в систему, некорректны
Вход/выход пользо­вателя из системы Вход пользователя в домен в данное время запрещен
Вход/выход пользо­вателя из системы Вход пользователя в систему запрещен -учетная запись пользователя заблокиро­вана администратором
Вход/выход пользо­вателя из системы Вход пользователя в Домен запрещен -учетная запись пользователя автоматиче­ски заблокирована по достижении опреде­ленной даты
Вход/выход пользо­вателя из системы Вход пользователя в домен с данной ра­бочей станции запрещен
Вход/выход пользо­вателя из системы Данный тип (интерактивный, сетевой или сервисный) входа пользователя в систему запрещен
Вход/выход пользо­вателя из системы Вход пользователя в систему запрещен -пароль пользователя устарел
Вход/выход пользо­вателя из системы Пользователь не смог войти в домен из-за сбоев сетевых сервисов
Вход/выход пользо­вателя из системы Пользователь не смог войти в систему по какой-то другой причине
Вход/выход пользо­вателя из системы Пользователь успешно вышел из системы

Продолжение табл. 4.8

Иденти­фи­катор Категория Описание
Вход/выход пользо­вателя из системы Вход пользователя в систему запрещен -учетная запись пользователя автоматиче­ски заблокирована из-за превышения мак­симально допустимого количества попыток входа в систему с неверным паролем
Доступ к объекту Пользователь попытался открыть объект
Доступ к объекту Пользователь закрыл объект
Использование опас­ных привилегий В маркере доступа пользователя присут­ствует опасная привилегия
Использование опас­ных привилегий Предпринята попытка использования опасной привилегии при выполнении опе­рации, не связанной с доступом к объек­там3
Использование опас­ных привилегий Предпринята попытка использования опасной привилегии для получения досту­па к объекту
Запуск/завершение процессов Запуск нового процесса
Запуск/завершение процессов Завершение процесса
Запуск/завершение процессов Дублирование дескриптора (handle) объек­та
Запуск/завершение процессов Непрямой доступ к объекту
Изменения в полити­ке безопасности Субъекту предоставлена новая привиле­гия
Изменения в полити­ке безопасности У субъекта отнята привилегия
Изменения в полити­ке безопасности Установлены доверительные отношения с другим доменом
Изменения в полити­ке безопасности Доверительные отношения с другим доме­ном прекращены
Изменения в полити­ке безопасности Изменена политика аудита
Изменения в списке пользователей2 Создана учетная запись нового пользова­теля
Изменения в списке пользователей Изменен тип учетной записи
Изменения в списке пользователей С учетной записи пользователя снята бло­кировка
Изменения в списке пользователей Неудачная попытка изменить пароль поль­зователя
Изменения в списке пользователей Удачная попытка изменить пароль пользо­вателя
Изменения в списке пользователей Учетная запись пользователя заблокиро­вана

Окончание табл. 4.8

Иденти­фи­катор Категория Описание
Изменения в списке пользователей Учетная запись пользователя удалена
Изменения в списке пользователей Создана новая глобальная группа
Изменения в списке пользователей Пользователь добавлен в глобальную группу
Изменения в списке пользователей Пользователь удален из глобальной груп­пы
Изменения в списке пользователей Глобальная группа удалена
Изменения в списке пользователей Создана новая локальная группа
Изменения в списке пользователей Пользователь добавлен в локальную груп­пу
Изменения в списке пользователей Пользователь удален из локальной группы
Изменения в списке пользователей Локальная группа удалена
Изменения в списке пользователей Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой груп­пе
Изменения в списке пользователей Произведены изменения в списке пользо­вателей, не связанные с редактированием учетных записей
Изменения в списке пользователей Произведены изменения в учетной записи глобальной группы, не связанные с изме­нением членства пользователей в этой группе
Изменения в списке пользователей Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах

5. УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ ОТЧЕТА.
Отчет должен содержать:

  • название работы;
  • цель работы;
  • порядок действий по выполнению лабораторной работы;
  • выводы по результатам проделанной работы.

6. КОНТРОЛЬНЫЕ ВОПРОСЫ ПО ВЫПОЛНЕННОЙ РАБОТЕ.
1 Какие три журнала Windows XP Professional можно просматривать средствами утилиты просмотра событий? Для чего предназначен каждый из них?
2 Как просмотреть журнал безопасности удаленного компьютера?
3 Какие два способа поиска конкрет­ных событий есть в утилите просмотра событий? Что позволяет делать каждая из команд?
4 Размер любого из журналов может изменяться от_____кбайт до______Гбайт, а по умолчанию он равен________кбайт.

    • Что происходит при переполнении журнала, если для него выб­ран параметр Не затирать события (очистка журнала вручную) (Do Not Overwrite Events)?

Наши рекомендации