Tapahtumaloki

Tapahtumaloki on Microsoft Windowsin vakiotapa sovelluksille ja käyttöjärjestelmälle tallentaa ja tallentaa keskitetysti tietoja tärkeistä ohjelmisto- ja laitteistotapahtumista. Tapahtumalokipalvelu tallentaa tapahtumat eri lähteistä yhteen tapahtumalokiin, tapahtumien katseluohjelma sallii käyttäjän tarkastella tapahtumalokia, API mahdollistaa sovellusten kirjoittaa tietoja lokiin ja tarkastella olemassa olevia merkintöjä.

Tapahtumat

Tapahtumalokin merkinnät tallennetaan rekisteriavaimeen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Tämä avain sisältää aliavaimia, joita kutsutaan lokitiedostoiksi. Oletuksena on:

sovelluslokitiedosto - sovellus- ja palvelutapahtumia varten;
suojauslokitiedosto - tarkastusjärjestelmän tapahtumia varten;
syslog-tiedosto - laiteohjaintapahtumia varten.

On mahdollista luoda lisälokeja. Jokaiselle lokin tapahtumalähteelle luodaan erillinen aliavain. Jokaisen lähteen tapahtumat voidaan sisällyttää kullekin lähteelle erikseen määriteltyihin luokkiin. Tapahtumien on kuuluttava johonkin viidestä ennalta määritetystä tyypistä.

Tyyppi	Kuvaus
Tiedot	Tapahtumat kertovat harvinaisista ja tärkeistä onnistuneista toiminnoista.
Varoitus	Tapahtumat kertovat ongelmista, jotka eivät vaadi välitöntä huomiota, mutta voivat johtaa virheisiin tulevaisuudessa. Esimerkki tällaisesta tapahtumasta on resurssien ehtyminen.
Virhe	Tapahtumat osoittavat merkittäviä ongelmia, jotka yleensä johtavat toimintojen tai tietojen menettämiseen. Esimerkkinä voisi olla palvelun kyvyttömyys käynnistyä käynnistyksen yhteydessä.
Onnistunut tarkastus	Suojaustapahtumat, jotka tapahtuvat, kun tarkastettuja resursseja käytetään onnistuneesti. Esimerkkinä voisi olla onnistunut kirjautuminen.
Epäonnistunut tarkastus	Suojaustapahtumat, jotka tapahtuvat, kun tarkastettujen resurssien käyttö epäonnistuu. Esimerkkinä voisi olla tiedoston avaaminen ilman asianmukaisia käyttöoikeuksia.

Tapahtumatietue sisältää: tapahtumatunnuksen, tapahtumatyypin, tapahtumaluokan, merkkijonojoukon ja muita tapahtumakohtaisia binaaritietoja. Jokaisen tapahtumalähteen on rekisteröitävä oma viestitiedostonsa, joka tallentaa kuvausmerkkijonot viestien tunnisteita, luokkia ja parametreja varten. Kuvausmerkkijono voi sisältää paikkoja, joihin voit lisätä merkkijonoja tapahtumaa tallennettaessa määritetystä taulukosta, esimerkiksi:

Ei voida avata %1, virhe %2

Tapahtumanvalvonta ei tulkitse lisätietoja millään tavalla, ja ne näytetään heksadesimaali- ja tekstimuodossa.

Ohjelmistoliittymä

Tapahtumien kanssa työskentelyn päätoiminnot:

OpenEventLog - avaa loki määritetylle tietokoneelle hallinnollisia toimintoja varten;
ReadEventLog - lokin osan lukeminen puskuriin;
GetOldestEventLogRecord - hanki vanhimman tietueen numero;
GetNumberOfEventLogRecords - saada tietueiden määrä määritetyssä lokissa;
NotifyChangeEventLog - vastaanottaa ilmoituksia, kun kirjoitat määritettyyn lokiin;
BackupEventLog - lokin kirjoittaminen arkistoon;
ClearEventLog - lokin tyhjennys ja mahdollisuus kirjoittaa arkistoon;
OpenBackupEventLog - lokin arkistokopion avaaminen;
CloseEventLog - lokin sulkeminen;
RegisterEventSource - avaa loki tapahtumien tallentamiseksi määritetystä lähteestä;
ReportEvent - tapahtuman tallentaminen lokiin;
DeregisterEventSource - Sulje loki, joka on avoinna kirjoittamista varten.

Haavoittuvuudet ja suojaustavat

Järjestelmänvalvojat voivat tarkastella ja tyhjentää lokia, ei ole mahdollista erottaa luku- ja tyhjennysoikeuksia. Lisäksi järjestelmänvalvoja voi käyttää erityistä Winzapper-apuohjelmaa poistaakseen lokista tiettyjä tapahtumia koskevia merkintöjä. Tästä syystä, jos järjestelmänvalvojan tili on hakkeroitu, tapahtumalokin tapahtumahistoria muuttuu epäluotettavaksi. Voit torjua tämän luomalla etälokipalvelimen, jota voidaan käyttää vain konsolin kautta.

Kun loki saavuttaa suurimman sallitun koon, se voi joko korvata vanhat tapahtumat tai lopettaa tallennuksen. Tämä tekee siitä alttiin hyökkäyksille, joissa hyökkääjä yrittää täyttää lokin luomalla suuren määrän uusia tapahtumia. Osittain tätä vastaan tukin enimmäiskoon kasvattaminen voi auttaa. Siten enemmän tapahtumia olisi käynnistettävä lokin täyttämiseksi. Voit ohjeistaa lokia olemaan korvaamatta vanhoja tapahtumia, mutta tämä voi aiheuttaa kaatumisen.

Toinen tapa hyökätä tapahtumalokia vastaan on kirjautua sisään järjestelmänvalvojan tilillä ja muuttaa tarkastuskäytäntöä eli lopettaa luvattoman toiminnan tallentaminen lokiin. Tarkastuskäytännön asetuksista riippuen sen muutos voidaan kirjata lokiin. Tämä tapahtumatietue voidaan tyhjentää Winzapperilla. Tästä eteenpäin toimintaa ei tallenneta tapahtumalokiin.

Tietenkään kaikki hyökkäykset eivät tarvitse pääsyä lokiin. Mutta kun tiedät, miten tapahtumaloki toimii, voit ryhtyä varotoimiin havaitsemisen välttämiseksi. Esimerkiksi käyttäjä, joka haluaa kirjautua sisään työtoverin tilillä yritysverkkoon, saattaa odottaa, kunnes hän voi käyttää tietokonetta huomaamattomasti. Sitten hän arvaa salasanan laitteiston avulla ja rekisteröityy järjestelmään. Käyttäjätilin nimi välitetään sitten Terminal Servicesille Wi-Fi- hotspotilla , jonka IP-osoitetta ei voida jäljittää tunkeilijalle.

Kun loki on tyhjennetty Event Viewerin kautta, juuri tyhjennettyyn lokiin luodaan välittömästi yksi merkintä, johon merkitään tyhjennyksen ajankohta ja pääkäyttäjä. Nämä tiedot voivat olla lähtökohta epäilyttävien toimintojen tutkinnassa.

Windowsin tapahtumalokin lisäksi järjestelmänvalvojat voivat tarkistaa myös Windowsin palomuurin suojauslokin .

Linkit

Tietoja tapahtumien kirjaamisesta . MSDN-kirjasto . Microsoft (4. kesäkuuta 2012). Haettu 4. heinäkuuta 2012. Arkistoitu alkuperäisestä 8. elokuuta 2012.
NT:n turvallisuusloki – paras ja viimeinen puolustus , R. Franklin Smith
Winzapper FAQ , NTSecurity.
Tietoturvavalvonta ja hyökkäysten havaitseminen , Microsoft
Sisäänkirjautumisen ja uloskirjautumisen seuranta Windows 2000:ssa , Microsoft
Tapahtumaloki
Franklin R. Smithin Windows NT -suojauslokin analysointi
Voiko Windowsin tapahtumaloki olla hauskaa luettavaa? Valeri Sidorov