Windows server 2019 настройка событий журналирования

Обновлено: 04.07.2024

Все мы любим заворожённо читать про очередное расследование инцидента, где шаг за шагом распутывается клубок: как проник злоумышленник, какие инструменты он использовал и когда, что за процессы создавались на скомпрометированном хосте, что происходило в сети и, конечно же, кто виноват и что делать.

На практике ответы на эти вопросы находятся не всегда. Зачастую при расследовании специалисты отделов ИБ сталкиваются с тем, что аудит не настроен, логи перезаписались, отсутствует единая система хранения и анализа журналов, «перезалит» заражённый хост (популярное решение всех проблем).

Ниже мы разберём один из самых важных этапов, который нужен для того, чтобы расследование не завершилось ещё в самом начале: сбор и хранение журналов аудита. Будут рассмотрены возможности расширенного аудита ОС Windows и его настройка.

Знакомство с расширенным аудитом Windows

Речь пойдёт о настройках для систем Microsoft Windows Vista / Server 2008 и выше. Начиная с указанных операционных систем компания Microsoft сделала шаг вперёд в понимании аудита и управления им. Так появился расширенный аудит. Теперь администраторы и специалисты по информационной безопасности могут управлять аудитом на уровне не только категорий, но и подкатегорий.

Давайте подробнее остановимся на них. Откроем оснастку локальной групповой политики, используя команду «gpedit.msc» (или через «secpol.msc»). Для групповых политик всё будет аналогично, только все действия будут выполняться через «gpmc.msc».

Полный путь к настройкам аудита выглядит следующим образом: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Политика аудита (Computer Configuration / Windows Settings / Security Settings / Local Policies / Audit Policy).

Расширенный аудит, в свою очередь, находится здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита (Computer Configuration / Windows Settings / Security Settings / Advanced Audit Policy Configuration).

Ниже на рисунке видно, как они коррелируют между собой.

В общей сложности нам доступны 10 политик и 60 подкатегорий.

Теперь вместо включения аудита «Доступ к объектам» мы можем очень тонко настроить его по подкатегориям. Например, мы не будем включать аудит событий «платформы фильтрации Windows», потому что он генерирует крайне большое количество событий (всё сетевое взаимодействие хоста), которые к тому же лучше отслеживать на специализированном оборудовании, таком как межсетевые экраны, маршрутизаторы, прокси- и DNS-серверы. Включим аудит файловой системы, реестра, съёмного носителя и других событий доступа к объектам, а всё остальное оставим в выключенном состоянии (параметр «Не настроено»).

События аудита могут иметь значение «Успех и отказ», изображённое на рис. 4, или поддерживать только одно из двух состояний. Например, аудит создания процессов (Event ID 4688: A new process has been created) может быть только «успешным» (рис. 5).

Если вы не знаете, нужна ли вам та или иная политика аудита, то ознакомиться с их описанием тоже очень легко. Оно есть на вкладке «Пояснение» соответствующей политики.

Для некоторых политик аудита дополнительно нужно настраивать системные списки управления доступом (SACL). Это в первую очередь касается файлового аудита и аудита реестра (альтернатива — использовать весьма специфичную политику «Аудит доступа к глобальным объектам»).

Например, чтобы отслеживать изменения в файле «hosts», откроем его свойства и перейдём в настройки аудита: «Безопасность» -> «Дополнительно» -> «Аудит». Добавим субъект аудита: выбираем группу «Все». Тип аудита — «Успех». Ставим галочки напротив записи данных, удаления, смены разрешений и смены владельца.

Если в вашей компании уже существуют различные групповые политики с настройками аудита, но вы хотите начать использовать расширенный аудит и подкатегории, то для этого случая Microsoft учла и ввела новую политику, которая называется «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)» (Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings). По умолчанию она включена. Проверить состояние политики можно здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Параметры безопасности (Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options).

Дополнительно вы можете управлять политиками аудита через инструмент командной строки «auditpol.exe».

Настройка политик аудита Очень часто можно услышать совет: «давайте включим все политики». Это, конечно, — «путь джедая», но, как показывает практика, не все джедаи добрались до финала.

Для большинства сценариев мониторинга нет острой необходимости включать всё. Это излишне. Включая все политики, вы можете получить гигантский поток событий, в котором очень легко «утонуть». В большой инфраструктуре с несколькими тысячами Windows-хостов поток событий может исчисляться десятками тысяч EPS (событий в секунду). Это порождает другую, не менее сложную задачу: как этим управлять, где это хранить, как обрабатывать.

Предлагаем рассмотреть оптимальный список политик, который может вам понадобиться. Также стоит обратить внимание на то, что фактически настроек две (и, соответственно, существуют две различные GPO). Первая — исключительно для контроллеров домена, так как часть событий (например, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируется исключительно на них. Вторая — для рядовых серверов и АРМ пользователей.

После включения описанных политик у вас будут все необходимые события для мониторинга и расследования инцидентов.

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Требования к версии ОС: не ниже Windows Server 2012 R2, Windows 8.1. Данная функциональность также доступна и на ОС Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 после установки обновления KB 3004375.

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows 8.1
Windows 8
Windows 7 SP1

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

журнал «Установка» (Setup) — не менее 10 МБ,
журнал «Система» (System) — не менее 50 МБ,
журнал «Приложение» (Application) — не менее 50 МБ,
журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

Выводы

Настройка необходимых для мониторинга политик аудита, локальное долговременное хранение журналов, протоколирование запуска процессов и команд PowerShell позволит не упустить важные события безопасности и тщательно расследовать инциденты. Это — один из ключевых этапов в построении процессов непрерывного мониторинга, снижения рисков ИБ и повышения уровня защищённости.

В дальнейшем важно будет обеспечить централизованный сбор и хранение журналов в SIEM-системе, настройку корреляционных правил, киберразведку (Threat Intelligence), проведение активных испытаний безопасности в формате Red / Blue Team.

В этом разделе описывается просмотр и настройка записей журнала событий, счетчиков производительности и предупреждений службы, которые отображаются для локальных и удаленных серверов в диспетчер сервера.

данные журнала событий, служб и производительности отображаются в двух местах консоли диспетчер сервера в Windows Server.

На панели мониторинга можно щелкнуть столбцы " события", " производительность" и " службы ", чтобы настроить данные событий, производительности и журнала службы, которые необходимо просмотреть для ролей, всего Диспетчер сервера пула серверов, созданных пользователем групп серверов и локального сервера. При щелчке гипертекстовых строк открывается диалоговое окно Просмотр подробностей , в котором можно указать данные, о которых необходимо получать оповещения на панели мониторинга. После настройки данных журнала событий, служб и производительности, которые необходимо выделить в эскизах панели мониторинга, записи журнала, соответствующие заданным критериям, будут перечислены в нижней части диалоговых окон подробного представления .

Плитки События, Службы и Производительность являются частью домашних страниц ролей и групп. Команды меню Задачи этих плиток позволяют указывать конкретные данные, подлежащие сбору с управляемых серверов. Плитки содержат фильтры и запросы, предназначенные для последующего ограничения записей журнала, отображаемых в определенной плитке, если это необходимо.

В этом разделе содержатся следующие подразделы.

Что такое эскизы?

Эскизы отображаются на панели мониторинга Диспетчер сервера для каждой роли (эскиз роли отражает данные, собранные по всем серверам в пуле Диспетчер сервера, выполняющем роль), для каждой группы серверов, для группы " все серверы " (все серверы в пуле Диспетчер сервера) и для локального сервера. После диспетчер сервера получения данных с управляемых серверов эскизы создаются автоматически для ролей, работающих на серверах в пуле серверов.

Если консоль диспетчер сервера запущена на клиентском компьютере в составе средства удаленного администрирования сервера, эскиз локального сервера отсутствует.

Эскиз отображает выборку данных о состоянии и управляемости ролей, серверов и групп серверов. Цвет строки заголовка эскиза изменяется (и выделенные числа отображаются в левом поле), когда события, счетчики производительности, анализатор соответствия рекомендациям результаты, службы или общие проблемы управляемости соответствуют критериям, заданным в диалоговых окнах подробного представления , которые открываются щелчком эскизов строк. Приведенная ниже таблица содержит описание данных, отображаемых в эскизах.

Просмотр и настройка событий

В этом разделе вы узнаете, как настроить сбор данных журнала событий с серверов в диспетчер сервера пуле серверов и какие события должны выделяться в эскизах.

События, о которых вы получаете оповещения в эскизах, представляют собой подмножество общих событий, которые вы указываете диспетчер сервера собираются с управляемых серверов. Несмотря на то, что изменение условий событий в диалоговом окне Настройка данных события в плитках событий может изменить число оповещений, отображаемых на панели мониторинга Диспетчер сервера, изменение критериев оповещения о событиях в эскизах не влияет на данные журнала событий, собираемые с управляемых серверов.

Настройка событий, собираемых с управляемых серверов

В консоли диспетчер сервера откройте любую страницу, кроме панели мониторинга. События, собираемые с управляемых серверов, можно настроить в плитке События на страницах роли, группы серверов или локального сервера.

В меню Задачи плитки События щелкните Настройка данных события.

Выберите уровни серьезности событий, которые необходимо собрать с серверов в выбранной группе. Степени серьезности Критическая, Ошибка и Предупреждение выбраны по умолчанию.

Укажите период времени для событий. По умолчанию срок жизни событий составляет 24 часа.

Выберите файлы журнала событий, из которых должны собираться события. По умолчанию это файлы Приложение, Настройка и Система.

Чтобы сохранить изменения и закрыть диалоговое окно Настройка данных события, нажмите кнопку ОК. Данные события автоматически обновляются при сохранении изменений.

Настройка событий, отображаемых в эскизах

Если диспетчер сервера уже открыт, перейдите к следующему шагу. Если диспетчер серверов еще не открыт, откройте его одним из следующих способов.

На рабочем столе Windows запустите диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows.

на начальном экране Windows щелкните плитку диспетчер сервера.

На панели мониторинга, в плитке Роли и группы серверов эскиза, щелкните строку События.

В диалоговом окне Просмотр подробных сведений о событиях добавьте уровень серьезности к событиям, которые необходимо отобразить. По умолчанию в эскизах отображается только оповещение для критических событий. Обратите внимание, что количество событий, отображаемых в диалоговом окне подробное представление , увеличивается при добавлении уровня серьезности, о котором необходимо получать оповещения.

В поле Источники событий выберите источники событий для оповещения. Значение по умолчанию — All.

Если этот эскиз предназначен для роли, установленной на нескольких серверах, или группы из нескольких серверов, в раскрывающемся списке серверы можно выбрать серверы, для которых требуется создать оповещения о событиях.

В поле период времени укажите период времени до 1440 минут, 24 часа или 1 день.

В поле ИД событий введите кодовые числа определенных событий для оповещения. Можно ввести диапазон идентификаторов событий, разделенных тире ( - ), и исключить идентификаторы событий из диапазона, введя тире перед идентификатором события или диапазоном идентификаторов событий, которые требуется исключить. Например, значение 1,3,5-99,-76 означает, что оповещения вызываются для событий с идентификаторами 1 и 3, а также для всех событий с идентификаторами в диапазоне от 5 до 99, за исключением события с идентификатором 76.

При изменении условий отображения оповещений число оповещений о событиях, отображаемых в области результатов в нижней части диалогового окна, может измениться. Выберите записи в списке и щелкните скрыть предупреждения , чтобы они не влияли на число оповещений, отображаемых в исходном эскизе. Для выбора нескольких оповещений нажмите и удерживайте клавишу CTRL при выборе оповещений. Вы также можете сделать это для оповещений, соответствующих ранее выбранным условиям оповещения о событиях, которые не нужно отображать.

Щелкните Показать все для возврата скрытых оповещений в список.

Просмотр и настройка данных журнала производительности

В этом разделе вы узнаете, как настроить, какие данные журнала производительности собираются с серверов в пуле диспетчер сервера серверов, а также какие предупреждения счетчиков производительности должны выделяться в эскизах.

По умолчанию счетчики производительности отключены. управляемые серверы под управлением операционных систем более поздних версий, чем Windows Server 2003, и для которых не запущены счетчики производительности, обычно отображают ошибки состояния управляемости счетчиков производительности "в сети", не запущенных на плитке " серверы " на страницах роли или группы. Чтобы включить счетчики производительности для управляемых серверов, на странице все серверы щелкните правой кнопкой мыши элемент элементы на плитке производительность , чтобы отобразить значение состояния счетчика выкл., а затем выберите команду запустить счетчики производительности. Счетчики производительности также можно запустить, щелкнув правой кнопкой мыши записи для серверов на плитке серверы на страницах роли или группы, а затем выбрав команду запустить счетчики производительности.

Оповещения производительности, отображаемые в эскизах, представляют собой подмножество общих данных счетчиков производительности, которые указывают диспетчер сервера для получения от управляемых серверов. Несмотря на то, что изменение критериев предупреждения производительности в диалоговом окне Настройка предупреждений о производительности в плитках производительности может изменить число оповещений, отображаемых на панели мониторинга Диспетчер сервера, изменение критериев оповещения о производительности в эскизах не влияет на данные журнала производительности, собираемые с управляемых серверов.

По этой причине максимальный срок хранения данных производительности, которые можно отобразить в виде эскизов, не может быть больше, чем максимальный период отображения графика, установленный в диалоговом окне Настройка оповещений о производительности. например, если значение параметра отображаемый период Graph в окне настройка оповещений о производительности составляет 1 день, максимальное значение поля период времени в диалоговое окно представление сведений о производительности , открываемое из панели мониторинга диспетчер сервера, может составлять один день, 24 часа или 1 440 минут.

Настройка данных журнала производительности, собираемых с управляемых серверов

В консоли диспетчер сервера откройте любую страницу, кроме панели мониторинга. Данные о производительности, собираемые с управляемых серверов, можно настроить в плитке Производительность на страницах роли, группы серверов или локального сервера.

Для сбора данных журнала производительности с управляемых серверов счетчики производительности должны быть включены. Если счетчики производительности отключены, щелкните правой кнопкой мыши запись в списке плиток производительности и выберите команду запустить счетчики производительности. На сбор данных счетчика производительности может потребоваться время, зависящее от числа серверов, с которых собираются данные, и пропускной способности сети. Просмотрите текущее состояние в столбце Состояние счетчика.

В меню Задачи плитки Производительность выберите Настроить оповещения о производительности.

для серверов в выбранной группе или, выполняющих выбранную роль, укажите процент использования ЦП, по которому будут собираться оповещения счетчиков производительности, диспетчер сервера. Значение по умолчанию — 85%.

Укажите в мегабайтах остаток доступной памяти серверов, при достижении которого должен начинаться сбор оповещений счетчика производительности. По умолчанию выбрано 2 МБ.

Укажите период времени, отображаемый на графиках ресурсов Загрузка ЦП и Доступная память в плитке Производительность на выбранной странице. По умолчанию используется период в 1 день. Выберите команду Сохранить.

Помните, что число оповещений о производительности в плитке Производительность и отображение на графике сопоставленных оповещений по времени может измениться после нажатия кнопки Сохранить.

для виртуальных машин, в которых включен Динамическая память , увеличение порога предупреждений о производительности может привести к ложным положительным оповещениям.

Для обновления списка оповещений о производительности, собираемых с серверов, в меню Задачи выберите Обновить.

Настройка оповещений о производительности, отображаемых в эскизах

На панели мониторинга, в плитке Роли и группы серверов эскиза, щелкните строку Производительность.

В диалоговом окне подробное представление о производительности установите или снимите флажки для пороговых значений производительности ресурсов, о которых требуется получать оповещения в поле тип ресурса . Обратите внимание, что количество предупреждений производительности, отображаемых в диалоговом окне подробное представление , может увеличиваться при добавлении порогового значения производительности ресурса, о котором требуется получать оповещения.

В поле период времени укажите период времени до 1440 минут, 24 часа или 1 день.

При изменении условий отображения оповещений число оповещений, отображаемых в области результатов в нижней части диалогового окна, может измениться. Щелкните Скрыть оповещения, чтобы скрыть все оповещения старше текущего времени во избежание их влияния на отображение счетчика оповещений, отображаемого в эскизе источника.

Щелкните Показать все для возврата скрытых оповещений в список.

Просмотр свойств оповещений о производительности

Выполните одно из следующих действий.

На панели мониторинга, в плитке Роли и группы серверов эскиза, щелкните строку Производительность.

Откройте домашнюю страницу роли или группы и найдите плитку Производительность для данной роли или группы.

Дважды щелкните в списке любое оповещение о производительности для просмотра его свойств. Или щелкните любое оповещение о производительности правой кнопкой мыши и выберите Просмотр свойств.

В диалоговом окне Свойства оповещений о производительности выберите записи журнала для просмотра информации о процессах, связанных с записью в области Процессы.

По завершении просмотра свойств оповещений о производительности закройте диалоговое окно.

Анализ данных о производительности и решение проблем

Дополнительные сведения о анализе данных счетчиков производительности, отображаемых в диспетчер сервера, и решении проблем с производительностью на управляемых серверах см. в следующих ресурсах.

дополнительные сведения о расширенных средствах мониторинга производительности и анализа, доступных для Windows Server 2012 и более поздних версий Windows Server, см. в разделе производительность в MSDN.

Управление службами и настройка служебных оповещений

В этом разделе вы узнаете, как запускать, останавливать, перезапускать, приостанавливать или возобновлять службы, отображаемые в плитке " службы " на страницах группы ролей и серверов в Диспетчер сервера. Вы также можете настроить службы, о которых вы получаете оповещения, в эскизах на панели мониторинга диспетчер сервера.

Невозможно изменить тип запуска для служб, зависимостей служб, параметров восстановления или других свойств службы в плитке "службы" в диспетчер сервера. Для изменения свойств службы, отличных от состояния службы, откройте оснастку Службы. Ярлык для открытия оснастки " службы " доступен в меню " сервис " в Диспетчер сервера.

Запуск, остановка, перезапуск, приостановка и возобновление службы

В консоли диспетчер сервера откройте любую страницу, кроме панели мониторинга (иными словами, на любой домашней странице роли или группы).

В плитке Службы данной роли или группы щелкните любую службу правой кнопкой мыши.

В контекстном меню выберите выполняемое действие для данной службы. Если служба остановлена, единственным доступным действием будет ее запуск. Аналогичным образом, если служба приостановлена, единственным доступным действием будет ее возобновление.

Помните, что при запуске, остановке, перезапуске, приостановке или возобновлении службы значение столбца Состояние в плитке Службы для данной службы изменяется.

Настройка служебных оповещений, отображаемых в эскизах

На панели мониторинга, в плитке Роли и группы серверов эскиза, щелкните строку Службы.

В диалоговом окне Просмотр сведений о службах выберите типы запуска для служб, о которых требуется получать оповещения. По умолчанию выбираются автоматические (отложенное начало) и автоматически .

Выберите состояния службы, о которых вы хотите получать оповещения. По умолчанию выбрано Все.

Выберите службы, о которых требуется получать оповещения. По умолчанию выбрано Все.

Выберите серверы, связанные с ролью или группой, для которых требуется получить оповещения о службах. По умолчанию выбрано Все.

Щелкните Показать все для возврата скрытых оповещений в список.

Просмотр и копирование записей о событиях, службах и производительности

Вы можете скопировать свойства записи события, службы или производительности в диалоговых окнах " подробное представление " и " события " и " производительность " для роли или группы. Щелкните правой кнопкой мыши событие или запись производительности, а затем выберите команду Копировать.

Кроме того, при выделении любого события в списке плитка События позволяет просмотреть записи свойств данного события в нижней половине плитки. Чтобы скопировать свойства, показанные в предварительной версии, щелкните правой кнопкой мыши панель предварительного просмотра и выберите команду Копировать.

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
в командной строке или в окне Выполнить набрать eventvwr.msc:

Скриншот №1. Запуск Просмотра событий (Event Viewer) через командную строку

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Скриншот №2. Запуск Просмотра событий (Event Viewer) через Диспетчер серверов

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
Система (System) – здесь регистрируются события операционной системы и системных сервисов;
Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

Сами события также разделяются на типы:

Сведения (Information) — информируют о штатной работе приложений.
Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Скриншот №4. Фильтрация журнала

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Скриншот №5. Настройки фильтра

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Скриншот №6. Очистка фильтра

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

Скриншот №7. Свойства журналов

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

Скриншот №8. Характеристики файла журнала

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

В предыдущей статье мы описали политики аудита Windows, значимые с точки зрения защиты информации, а также обсудили утилиту Sysmon. В настоящей статье мы рассмотрим несколько полезных «фич» при работе со встроенной системой журналирования Windows для того, чтобы показать, что для построения грамотной системы мониторинга событий ИБ можно воспользоваться и штатным функционалом ОС. Приступим!

Как мы уже говорили, начиная с Microsoft Windows Server 2008 и Vista в Windows используются политики расширенного аудита событий безопасности, которые настраиваются достаточно гибко и дают массу значимой с точки зрения ИБ информации, позволяя выстраивать продуманную систему мониторинга событий безопасности. Для работы с подсистемой журналирования можно не только использовать графическую оболочку, но и осуществлять администрирование и точную настройку из командной строки. Для этого в ОС Windows существует утилита wevtutil , которая позволяет управлять свойствами конкретных журналов аудита, получать текущие настройки журналирования, искать интересующие нас данные в журналах, в том числе в событиях аудита информационной безопасности, причем как локально, так и на удаленных устройствах.

Например, для увеличения размера журнала Sysmon до 512 МБайт следует выполнить команду

wevtutil sl Microsoft-Windows-Sysmon/Operational /ms:536870912 (размер указывается в байтах).

Для установки разрешения на ротацию, т.е. перезапись старых событий в журнале более новыми, следует использовать опцию retention со значением false (значение true означает, что новые события не будут перезаписывать старые, что может привести к потере информации в случае переполнения журнала):

wevtutil sl Microsoft-Windows-Sysmon/Operational /rt:false

Для просмотра детальных свойств определенного журнала с отображением прав доступа к нему в SDDL-синтаксисе следует выполнить команду

wevtutil gl security (где Security - имя встроенного журнала безопасности).

Простой текстовый поиск по лог-файлу, в том числе и экспортированному в форматы evtx и etl , можно осуществить командой

wevtutil qe "C:\path\to\file.evtx" /lf:true /f:text | find /i "some_text"

Наконец, выполнив необходимые настройки файлов журналов Windows, перейдем непосредственно к поиску интересующей информации. Заметим, что в случае включения всех рекомендованных политик аудита ИБ сами журналы событий становятся достаточно объемными, поэтому поиск по их содержимому может быть медленным (этих недостатков лишены специализированные решения, предназначенные в том числе для быстрого поиска информации - Log Management и SIEM-системы). Отметим также, что по умолчанию не все журналы Windows отображаются к графической оснастке (eventvwr.msc), поэтому в данной оснастке следует перейти в меню «Вид» и отметить check-box «Отобразить аналитический и отладочный журналы».

Итак, поиск по журналам аудита будем осуществлять с помощью встроенного редактора запросов XPath (XPath queries). Открыв интересующий нас журнал, например, журнал безопасности Windows (вкладка «Журналы Windows» -> «Безопасность» / «Security»), нажатием правой кнопки мыши на имени журнала выберем пункт «Фильтр текущего журнала». Нам откроется графический редактор поисковых запросов, при этом для наиболее продуктивной работы следует открыть вторую вкладку открывшегося окна с названием XML, отметив внизу check-box «Изменить запрос вручную». Нам будет предложено изменить XML-текст (по сути, XPath запрос) в соответствии с нашими критериями поиска. Результат запроса будет также представляться в различных формах, но для лучшего понимания и получения детального контента в конкретном событии рекомендуем переключиться на вкладку «Подробности», а там выбрать radio-button «Режим XML», в котором в формате «ключ-значение» будут представлены данные события безопасности.

Приведем несколько полезных XPath запросов с комментариями.

1. Поиск по имени учетной записи в журнале Security - возьмем для примера имя Username:

<Query Path="Security">

<Select Path="Security">*[EventData[Data[@Name='TargetUserName']='Username']]

Читайте также: