Новые системные события в NT4 SP4
Служба журнала событий SP4 записывает новые полезные события в системный журнал событий.
в измерении доступности операционной системы.
- Идентификатор события перезапуска NT: 6005
Это эквивалентно идентификатору события: 512.
- Идентификатор события чистого завершения работы: 6006
Это означает, что NT не была перезапущена до тех пор, пока на экране не появилось сообщение Сейчас
безопасно выключать компьютер. Служба журнала событий записывает чистое завершение работы
всякий раз, когда отключение операционной системы инициируется посредством прямого взаимодействия с пользователем
с помощью экрана выключения; Завершение работы/перезапуск с помощью Ctrl+Alt+Delete; Неисправность/
Перезапустите через меню «Пуск»; или Завершение работы/Перезапуск с помощью экрана входа в систему. Чистый
отключения также записываются, если происходит одно из следующих событий отключения
программно: InitiateSystemShutdown WIN32 API (локальный) или
InitiateSystemShutdown WIN32 API (удаленно). - Идентификатор события грязного завершения работы: 6008
Служба журнала событий записывает грязное завершение работы всякий раз, когда
система выключается с помощью механизма, отличного от чистого завершения работы. Самый распространенный
Причина в том, что система выключается и отключается, т. е. NT останавливается при отключении питания.
система. Событие записывается при последующей перезагрузке системы. Пока
Windows NT Server работает, система периодически записывает отметку времени в
реестр, который всегда перезаписывает отметку времени «последнего живого» из предыдущего
интервал. Когда записывается метка времени «последний живой», она также сбрасывается до
диск. Обычное полное завершение работы также помечается в реестре. Если чистый
флаг выключения не найден на диске при перезагрузке системы SP4, грязное завершение работы
событие записывается. Часть описания события содержит «последний живой»
отметка времени. Отметка времени «последний живой» записывается в реестр по умолчанию.
интервал от 5 минут до
HKLMSoftwareMicrosoftWindowsCurrentVersionReliabilityLastAliveStamp.
Добавление значения реестра DWORD TimeStampInterval может изменить интервал. Этот
значение в минутах. Установка его на ноль предотвращает любое время «последнего живого»
ведение журнала штампов, в нем будут записаны только штампы загрузки и нормального завершения работы.
кейс. - Идентификатор события версии системы: 6009
Служба журнала событий записывает событие версии системы, содержащее
информация о версии системы при каждой загрузке системы. Это облегчает
для постобработки журналов системных событий Windows NT по версии операционной системы. За
Например, мы экспортируем журналы безопасности в sql.ID 6009 является хорошим ключом сортировки для ОС. Как и ID 512, в нем указана версия ОС, сборка
номер и уровень пакета обновления. Важным признаком вторжения является идентификатор события.
577, который сигнализирует об изменении времени сервера. Сочетание событий
ID 577 с ID 512 или ID 6009 могут быть невинными, но это красный флаг, что
системное время было изменено, чтобы время между выключением и перезагрузкой выглядело
короткая. Другим идентификатором события, на который следует обратить пристальное внимание, является идентификатор безопасности 612, который сигнализирует
что категории аудита были изменены. Вы должны включить изменение политики аудита
чтобы этот идентификатор был записан.
До SP4 запись сбоев операционной системы в журнале событий
(Сохранить события дампа) было необязательным. По умолчанию события сбоя записывались, но
системный администратор может отключить это поведение в панели управления системой,
снятие «Записывать событие в системный журнал при возникновении STOP-ошибки» на
Вкладка «Запуск/Выключение». В SP4 запись сбоев в журнале событий есть
обязателен для Windows NT Server и не может быть отключен администратором. Там
без изменений для Windows NT Workstation; администратор по-прежнему может выбрать
либо настройка.
Другие идентификаторы событий:
ID 512: Перезагрузка системы
ID 517: Журнал безопасности очищен
Только
лица с правами на управление аудитом и журналом безопасности могут очистить
журнал безопасности.
ID 612: Изменение политики аудита
Советы по журналу событий:
Архивирование журналов событий
Объяснение журнала событий
Как удалить поврежденные файлы журнала просмотра событий
Судебная экспертиза: CrashOnAuditFail
Ограничить доступ к журналам приложений и системных событий
Описание событий безопасности
События безопасности Определения типов входа в систему
Расположение журнала безопасности
Подавить сообщения журнала событий браузера
Подавить Предотвратить регистрацию заданий на печать
Системные события в NT4 SP4
Аутентификация пользователя в Windows NT
Права пользователя, определение и список
Фрэнк Хейн сделал
доступен FAQ по журналу событий Windows NT.