Журнал событий (Event Log) в ОС Windows — стандартный метод для программ и операционной системы записи и централизованного хранения данных о важных программных и аппаратных событиях. Служба журналов событий хранит события от разных источников в общем журнале событий, приложение просмотра событий дает возможность пользователю наблюдать за журналом событий, программный интерфейс (API) дает возможность программа вести запись в журнал событий и просматривать имеющиеся там записи.
Как просмотреть журнал событий?
Чтобы просмотреть журнал событий в Windows XP, зайдите в «Панель управления -> Администрирование -> Просмотр событий».
Также для просмотра журнала событий можно использовать 2 программы:
- Eventlogsourcesview — простая утилита которая отображает все данные из журнала событий.
- LastActivityView — утилита которая показывает журнал активности пользователя
Защита файлов журнала событий Windows
Операционная система Windows имеет очень мощные возможности протоколирования. Но к сожалению, по умолчанию журнал событий(Event Viewer) не защищен от несанкционированного доступа или изменения. Несмотря на то что события просматриваются с помощью Event Viewer, журнал событий представляет собой обычный файл такой же, как и остальные. Для их защиты от доступа необходимо лишь найти эти файлы и применить к ним соответствующие списки ACL(список контроля доступа).
Все записи журнала событий находятся в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
Данный ключ содержит подключи, которые называются файлами журнала.
- AppEvent.Evt — файл журнала приложений для событий приложений и служб;
- SecEvent.Evt — файл журнала безопасности для событий системы аудита;
- SysEvent.Evt — файл системного журнала для событий драйверов устройств.
Если только расположение файлов не было изменено с помощью реестра, то они должны быть в каталоге %SystemRoot%\system32\config.
[box type=»shadow» ]Следует отметить, что журналы Windows нее занимают много системного места. Не следует считать, что их надо постоянно чистить.[/box]
С журналом приложения, безопасности и системным протоколом сопоставлены файлы SysEvent.Evt, AppEvent.Evt и соответственно SecEvent.Evt . Для ограничения доступа к ним только с помощью учетной записи администратора примените к ним ACL. Это можно выполнить с помощью диалогового окна свойств файла. Перейдя на вкладку Безопасность (Security), удалите на ней всех пользователей и группы, кроме Administrators и SYSTEM.