Event Viewer
Windows sistemlərində hadisə qeydlərində qeydə alınmış hadisələrə baxın və təhlil edir.
Hər gün kompüterdə çoxlu fəaliyyətlər baş verir. Windows OS sistem performansı, proqramlar və kompüterin təhlükəsizlik aspektləri ilə bağlı hər bir hadisəni C:\WINDOWS\system32\winevt jurnalında qeyd edir.
Windows kompüterdə baş verən hər bir hadisəni aşağıdakı kateqoriyalara təsnif edir:
Sistem log: Bu loglarda hardware daxil olmaqla kompüter sistemi ilə bağlı hadisələr qeydə alınır. Məsələn, sistemin işə salınması və bağlanması kimi hadisələr burada qeyd olunur.
Tətbiq: Bir maşında yerləşdirilən proqramlarla əlaqəli bütün hadisələr bu boşluğa daxil edilir. Məsələn, MS Word kimi proqramlara aid məlumatlar bu jurnalda qeyd olunur.
Quraşdırma: ƏS-nin quraşdırılması və ya təkmilləşdirilməsi zamanı baş verən hadisələr. Məsələn, Windows OS yeniləmələri haqqında məlumatı burada tapa bilərsiniz.
Təhlükəsizlik: Windows yoxlama xüsusiyyəti təhlükəsizlik hadisələrini davamlı olaraq izləyir və onların baş verməsini bu jurnalda qeyd edir. Məsələn, uğurlu və uğursuz giriş cəhdləri daxil olmaqla, istifadəçi identifikasiyası hadisələri.
Forwarded events:Bu, 2008-ci ildə təqdim edilmiş və digər kompüterlərdən ötürülən hadisələri saxlayan xüsusi kateqoriyadır.

Audit Logon Event
4698 -Yeni tapşırıq cədvəli yaradıldı
4702- redaktə edildikdən sonra dusur(yeniləndi)
4688- yeni bir proses yaradıldıqda daxil edilir
4624-Hesab uğurla daxil oldu
4625-Hesab daxil ola bilmədi
4657-Reyestr əlavə silmə yeniləmə prosesləri
1102- Audit jurnalı təmizləndi
4720-İstifadəçi hesabı yaradıldı
4672-Yeni girişə xüsusi imtiyazlar verildi
WevtUtil
Sizə hadisə loglari və publisherslər haqqında məlumat əldə etməyə imkan verir. Siz həmçinin bu əmrdən hadisə manifestlərini quraşdırmaq və silmək, sorğuları yerinə yetirmək və loglari ixrac etmək, arxivləşdirmək və silmək üçün istifadə edə bilərsiniz.

Commands:
Bütün loglarin adlarını sadalayın:
wevtutil el
Local kompüterdə Sistem jurnalı haqqında konfiqurasiya məlumatlarını XML formatında göstərin:
wevtutil gl System /f:xml
Event loglarnın atributlarını təyin etmək üçün konfiqurasiya faylından istifadə edin (konfiqurasiya faylı nümunəsi üçün Qeydlərə baxın):
wevtutil sl /c:config.xml
Microsoft-Windows-Eventlog event publisher haqqında məlumatı, o cümlədən publisherin qaldıra biləcəyi hadisələr haqqında metadata göstərin:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Application loglarının statusunu göstərin:
wevtutil gli Application
Application jurnalından bütün hadisələri silin:
wevtutil clear-log Application
Sistem jurnalından hadisələri əldə edin::
Get-EventLog -LogName System
Get-EventLog-dan daha təkmildir, filtrləmə və sorğuya imkan verir::
Get-WinEvent -LogName System -FilterXPath "*[System[Provider[@Name='EventLog']]]"
Event ID-si ilə filtrləmək üçün Get-WinEvent ilə -InstanceId parametrindən istifadə edin::
Get-WinEvent -LogName Security -FilterHashtable @{ID=4624}
WMIC istifadə edərək hadisələrin siyahısı::
wmic ntevent where "logfile='system'" get message, timegenerated
Uzaq kompüterdən hadisələri sorğulayın::
Get-WinEvent -LogName Security -ComputerName RemoteComputer
Xüsusi logları silir:
Clear-EventLog -LogName System
Hadisələri CSV faylına ixrac edin::
Get-WinEvent -LogName System | Export-Csv -Path C:\Path\To\ExportedEvents.csv -NoTypeInformation
-StartTime və -EndTime parametrlərindən istifadə edin:
Get-WinEvent -LogName Security -FilterHashtable @{StartTime=(Get-Date).AddDays(-1)}
Last updated
Was this helpful?