بررسی لاگ های ویندوز از طریق event viewer

M M
Windows_log

لاگ های ویندوز (Event Logs) در واقع فایل هایی هستند که حاوی اطلاعات بسیار حساس و حیاتی از همه رویدادهای مربوط به برنامه‌های کاربردی، سرویس‌ها و سیستم عامل می‌باشند.  بدون مطالعه دقیق لاگ های ویندوز علت بروز بسیاری از اشکالات مشخص نخواهد شد. در ادامه شما را با برخی مشخصات لاگ های ویندوز آشنا خواهیم ساخت:

 

لاگ های ویندوز به صورت پیش فرض در چند گروه به شرح زیر طبقه بندی می گردد :

Application Log : برنامه های کاربردی نصب شده بر روی سیستم رویداد های خود را در این لاگ ثبت می کنند، شامل خطا ها و هشدار هایی که لازم است به آن رسیدگی شود.

System Log : رویداد های مربوط به سیستم عامل در این لاگ ثبت میگردد، برای مثال نصب برنامه، استاپ و استارت شدن سرویس ها، خاموش و روشن شدن سیستم و مواردی از این قبیل.

Security Log : رویداد هایی که از نظر امنیتی اهمیت دارند در این لاگ ثبت می شوند، برای مثل تلاش های نا موفق ورود به سیستم، تغییر پالیسی های امنیتی سیستم، حذف فایل های مهم و مواردی از این قبیل.

Directory Service Log : این لاگ فقط بر روی سرورهای دامین کنترلر قرار دارد و موارد مربوط به اکتیو دایرکتوری در این لاگ قرار می گیرد.

DNS Server Log : این لاگ فقط بر روی سرور DNS قرار دارد و به ثبت رویداد های مربوطه اختصاص دارد.

File Replication Service Log : این لاگ فقط بر روی سرورهای دامین کنترلر قرار دارد رویداد های مربوط به رپلیکیشن اکتیو دایرکتوری را ثبت می کند.

 

انواع رویداد (Event Types)

رویداد های ثبت شده در لاگ های ویندوز در پنج نوع مختلف دسته بندی می گردند که اهمیت رویداد را نشان می دهد. انواع رویداد به شرح زیر است:

Information :  رویدادهایی که انجام موفق یک موضوع را توضیح می دهند، برای مثال استارت شدن یک سرویس ، بارگذاری موفق درایور ها، خاموش و روشن شدن سیستم. این نوع رویداد جنبه اطلاع رسانی دارد و دارای اهمیت مانیتورینگ دائمی نمی باشد.

Warning : رویدادهایی که جنبه هشداری دارند و در خصوص احتمال بروز مشکلات آتی اطلاع رسانی می کنند، برای مثال زمانی که فضای آزاد یک دیسک در شرف پایان است. این نوع رویداد نیاز به رسیدگی دارد.

Error : رویدادهایی که بروز خطا در سیستم را اعلام می کنند. برای مثال زمانی که سخت افزارها به درستی عمل نمی کنند و یا سرویسی استارت نمی شود. این نوع رویداد نیاز به رسیدگی فوری دارند.

Success Audit(Security Log) : رویداد هایی که انجام موفقیت آمیز یک عملیات دارای اهمیت امنیتی را نشان می دهند. برای مثال رویدادی از این نوع زمانی که یک کاربر با موفقیت به سیستم وارد می شود ثبت می گردد. این نوع رویداد فقط در لاگ Security قرار دارد.

Failure Audit(Security Log) :  رویدادهایی که تلاش های ناموفق انجام یک عملیات از نظر امنیتی مهم را نشان می دهند. برای مثال تلاش نا موفق ورود به سیستم و یا تلاش نا موفق حذف یک فایل مهم. این نوع رویداد فقط در لاگ Security قرار دارد.

برای اجرای Event viewer تنها کافی است event viewer را در start تایپ کرده و کلید enter را فشار دهید.Event viewer را نیز می توانید از طریق پوشه ی Administrative tool اجرا کنید.

 

نحوه مشاهده لاگ های ویندوز در سیستم

رویدادها در category های مختلفی قرار گرفته اند.به عنوان مثال log های نرم افزار های کاربردی شامل log های رویدادهای برنامه های کاربردی است و log های سیستم شامل logهای رویدادهای سیستمی ویندوز است.

هنگامی که برنامه Event Viewer را برای اولین بار باز کنید میبینید که همانند دیگر برنامه های مدیریت ویندوز این برنامه نیز دارای سه ستون است و البته قابلیت هایی فراوان و مفیدی نیز دارد.

پنل سمت چپ فهرستی کامل از دسته بندی های در دسترس برای همه موارد قابل مشاهده به شما ارائه می‌دهد.
پنل میانی برای مشاهده اعلانات و اتفاقات موجود در دسته بندی انتخاب شده است. شما می‌توانید با دوبار کلیک کردن بر روی هریک از گزینه های موجود در این قسمت، اطلاعات تفضیلی را در مورد گزینه انتخابی در پنجره ای مجزا مشاهده کنید.

با کلیک روی (Event Viewer (Local در پنل سمت چپ، پنل میانی اطلاعاتی خلاصه شده در مورد هر یک از رویدادهای رایانه در برهه‌های مختلف زمانی، آخرین رویدادهای نظارت شده و حجم بانک اطلاعاتی رویدادها در اختیار ما قرار می‌دهد:

 

بیشترین قسمتی که در پنل سمت چپِ ابزار برای کاربران مورد استفاده قرار می‌گیرد، Windows Logs است. این فولدر شامل ۵ قسمت “Application” ، “Security”، “Setup”، “System” و “Forwarded Events” است:

 

قسمت Application

در این قسمت تمام اطلاعات مربوط به برنامه‌های در حال اجرای ویندوز ذخیره می‌شود. شما می‌توانید با مراجعه به این قسمت برنامه‌های سیستمی مشکل دار خود را اشکال‌یابی کنید. توجه داشته باشید که حتی رایانه‌های سرور در بهترین حالت نیز عاری از خطا نیستند؛ بنابراین دیدن چند پیغام خطا و هشدار کاملا عادی است.

تصورکنید که در حال کار کردن با رایانه خود هستید که ناگهان یک برنامه (مثلا Explorer.exe) از کار افتاده و اصطلاحا کرش (Crash) می‌کند. کافی‌ است روی قسمت Application راست کلید کرده و با انتخاب گزینه Find در کادر محاوره‌ای باز شده عبارت “Explorer.exe” را وارد کرده و به دنبال تمام رویدادهای مربوط به آن بگردید. سپس می‌توانید با انتخاب رویداد مورد نظر و دوبار کلیک بر روی آن به اطلاعات کامل آن دست پیدا کنید:

 

قسمت Security

تمام فعالیت‌های رایانه شما در زمینه دسترسی‌های امنیتی در این قسمت ثبت و ضبط می‌شوند. توجه داشته باشید که شما می‌توانید در این قسمت زمان ورود به سیستم کاربرها (User Login)، دسترسی‌های درخواستی از سوی برنامه‌ها (Application Credential Request)، متصل شدن به سرویس‌های امنیتی مانند فایروال و … را رصد کنید.

برای مثال اینجا به رویدادی که نشان می‌دهد آنتی‌ویروس Eset NOD32 خود را در فایروال ویندوز برای کنترل منبعی خاص ثبت کرده است اشاره کرده ایم (توجه کنید که این رویداد با دسته‌بندی Other System Events، به معنای دیگر رویدادهای سیستمی، طبقه‌بندی شده است؛ زیرا آنتی‌ویروس یک برنامه شخص ثالث است.)

همچنین رویدادهایی با دسته‌بندی Logon وجود دارند که زمان دقیق ورود کاربر به سیستم را نشان می‌دهند. توجه داشته باشید هر عملی که منجر به شروع مجدد پروسه ورود به ویندوز شود در این دسته‌بندی خواهد بود؛ از جمله خارج شدن از حالت خواب (Sleep Mode):

 

قسمت Setup

این قسمت شامل اطلاعاتی درباره نصب و به‌روزرسانی ویندوز است. هر رویدادی که به نصب یک بسته به‌روزرسانی جدید، تغییر در بسته‌های موجود و تغییر در قابلیت‌های نصب شده ویندوز مربوط باشد، در این دسته‌بندی یافت خواهد شد. در اینجا ما اطلاعاتی در مورد از نصب خارج کردن بسته پروتکل SMB1 از ویندوز را مشاهده می‌کنیم:

 

قسمت System

تمام اعمال هسته سیستم عامل ویندوز اعم از ورود به حالت خواب (Sleep Mode)، اتصال به سرورهای مایکروسافت، تغییر ساعت و تاریخ خودکار، همگام سازی‌های سخت افزار-نرم افزار، و … در این دسته‌بندی جای می‌گیرند. در این قسمت شما حتی می‌توانید ببنید که علت روشن شدن رایانه تان چه بوده است (دکمه پاور سخت افزاری، زمان‌بندی در میان افزار برد اصلی، خروج از حالت خواب با صفحه کلید و…). برای مثال ما رویداد خطایی با مضمون عدم دسترسی به فولدر تاریخچه سرور IIS را باز کرده‌ایم:

 

قسمت Forwarded Events

این قسمت جهت نشان دادن رویدادهای ارسال شده از طرف رایانه‌های سرویس گیرنده در یک شبکه روی سرور است.

 از منوی سمت راست Event Viewer, می توانیم جستجو، فیلتر کردن، مرتب سازی و مشاهده جزئیات مربوط به رویدادها را داشته باشیم.

3
اشتراک گزاری
M M
mirzadeh

انصراف از پاسخ