Event Viewer

Windows sistemlərində hadisə qeydlərində qeydə alınmış hadisələrə baxın və təhlil edir.

Hər gün kompüterdə çoxlu fəaliyyətlər baş verir. Windows OS sistem performansı, proqramlar və kompüterin təhlükəsizlik aspektləri ilə bağlı hər bir hadisəni C:\WINDOWS\system32\winevt jurnalında qeyd edir.

Windows kompüterdə baş verən hər bir hadisəni aşağıdakı kateqoriyalara təsnif edir:

Sistem log: Bu loglarda hardware daxil olmaqla kompüter sistemi ilə bağlı hadisələr qeydə alınır. Məsələn, sistemin işə salınması və bağlanması kimi hadisələr burada qeyd olunur.

Tətbiq: Bir maşında yerləşdirilən proqramlarla əlaqəli bütün hadisələr bu boşluğa daxil edilir. Məsələn, MS Word kimi proqramlara aid məlumatlar bu jurnalda qeyd olunur.

Quraşdırma: ƏS-nin quraşdırılması və ya təkmilləşdirilməsi zamanı baş verən hadisələr. Məsələn, Windows OS yeniləmələri haqqında məlumatı burada tapa bilərsiniz.

Təhlükəsizlik: Windows yoxlama xüsusiyyəti təhlükəsizlik hadisələrini davamlı olaraq izləyir və onların baş verməsini bu jurnalda qeyd edir. Məsələn, uğurlu və uğursuz giriş cəhdləri daxil olmaqla, istifadəçi identifikasiyası hadisələri.

Forwarded events:Bu, 2008-ci ildə təqdim edilmiş və digər kompüterlərdən ötürülən hadisələri saxlayan xüsusi kateqoriyadır.

Audit Logon Event

4698 -Yeni tapşırıq cədvəli yaradıldı

4702- redaktə edildikdən sonra dusur(yeniləndi)

4688- yeni bir proses yaradıldıqda daxil edilir

4624-Hesab uğurla daxil oldu

4625-Hesab daxil ola bilmədi

4657-Reyestr əlavə silmə yeniləmə prosesləri

1102- Audit jurnalı təmizləndi

4720-İstifadəçi hesabı yaradıldı

4672-Yeni girişə xüsusi imtiyazlar verildi

WevtUtil

Sizə hadisə loglari və publisherslər haqqında məlumat əldə etməyə imkan verir. Siz həmçinin bu əmrdən hadisə manifestlərini quraşdırmaq və silmək, sorğuları yerinə yetirmək və loglari ixrac etmək, arxivləşdirmək və silmək üçün istifadə edə bilərsiniz.

Commands:

• Bütün loglarin adlarını sadalayın:

wevtutil el

• Local kompüterdə Sistem jurnalı haqqında konfiqurasiya məlumatlarını XML formatında göstərin:

wevtutil gl System /f:xml

• Event loglarnın atributlarını təyin etmək üçün konfiqurasiya faylından istifadə edin (konfiqurasiya faylı nümunəsi üçün Qeydlərə baxın):

wevtutil sl /c:config.xml

• Microsoft-Windows-Eventlog event publisher haqqında məlumatı, o cümlədən publisherin qaldıra biləcəyi hadisələr haqqında metadata göstərin:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

• Application loglarının statusunu göstərin:

wevtutil gli Application

• Application jurnalından bütün hadisələri silin:

wevtutil clear-log Application

• Sistem jurnalından hadisələri əldə edin::

Get-EventLog -LogName System

• Get-EventLog-dan daha təkmildir, filtrləmə və sorğuya imkan verir::

Get-WinEvent -LogName System -FilterXPath "*[System[Provider[@Name='EventLog']]]"

• Event ID-si ilə filtrləmək üçün Get-WinEvent ilə -InstanceId parametrindən istifadə edin::

Get-WinEvent -LogName Security -FilterHashtable @{ID=4624}

• WMIC istifadə edərək hadisələrin siyahısı::

wmic ntevent where "logfile='system'" get message, timegenerated

• Uzaq kompüterdən hadisələri sorğulayın::

Get-WinEvent -LogName Security -ComputerName RemoteComputer

• Xüsusi logları silir:

Clear-EventLog -LogName System

• Hadisələri CSV faylına ixrac edin::

Get-WinEvent -LogName System | Export-Csv -Path C:\Path\To\ExportedEvents.csv -NoTypeInformation

• -StartTime və -EndTime parametrlərindən istifadə edin:

Get-WinEvent -LogName Security -FilterHashtable @{StartTime=(Get-Date).AddDays(-1)}