Protokol událostí

Protokol událostí je standardním způsobem v systému Microsoft Windows pro aplikace a operační systém pro záznam a centrální ukládání informací o důležitých softwarových a hardwarových událostech. Služba protokolu událostí ukládá události z různých zdrojů do jediného protokolu událostí, prohlížeč událostí umožňuje uživateli zobrazit protokol událostí, rozhraní API umožňuje aplikacím zapisovat informace do protokolu a prohlížet existující záznamy.

Události

Položky protokolu událostí jsou uloženy v klíči registru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Tento klíč obsahuje podklíče nazývané soubory protokolu. Ve výchozím nastavení jsou:

aplikační log soubor - pro události aplikace a služby;
bezpečnostní log soubor - pro auditní systémové události;
syslog soubor - pro události ovladače zařízení.

Je možné vytvářet další protokoly. Pro každý zdroj událostí v protokolu je vytvořen samostatný podklíč. Události z každého zdroje lze zahrnout do kategorií definovaných pro každý zdroj zvlášť. Události musí patřit k jednomu z pěti předdefinovaných typů.

Typ	Popis
Informace	Události naznačují vzácné a důležité úspěšné operace.
Varování	Události označují problémy, které nevyžadují okamžitou pozornost, ale mohou v budoucnu vést k chybám. Příkladem takové události je vyčerpání zdrojů.
Chyba	Události naznačují závažné problémy, které obvykle vedou ke ztrátě funkčnosti nebo dat. Příkladem může být nemožnost spuštění služby při spuštění.
Úspěšný audit	Události zabezpečení, ke kterým dochází při úspěšném přístupu k auditovaným prostředkům. Příkladem může být úspěšné přihlášení.
Neúspěšný audit	Události zabezpečení, ke kterým dochází, když selže přístup k auditovaným prostředkům. Příkladem může být pokus o otevření souboru bez příslušných oprávnění.

Záznam události obsahuje: ID události, typ události, kategorii události, pole řetězců a další binární data specifická pro událost. Každý zdroj událostí musí zaregistrovat svůj vlastní soubor zpráv, ve kterém jsou uloženy popisné řetězce pro identifikátory zpráv, kategorie a parametry. Popisný řetězec může obsahovat místa pro vložení řetězců z pole určeného při záznamu události, například:

Nelze otevřít %1, chyba %2

Dodatečná data nejsou Prohlížečem událostí žádným způsobem interpretována a jsou zobrazena v hexadecimálním a textovém formátu.

Softwarové rozhraní

Hlavní funkce práce s událostmi:

OpenEventLog - otevření protokolu na zadaném počítači pro administrativní operace;
ReadEventLog - čtení části logu do bufferu;
GetOldestEventLogRecord - získat číslo nejstaršího záznamu;
GetNumberOfEventLogRecords - získat počet záznamů v zadaném protokolu;
NotifyChangeEventLog - přijímat upozornění při zápisu do určeného protokolu;
BackupEventLog - zápis protokolu do archivu;
ClearEventLog - vymazání logu s možností zápisu do archivu;
OpenBackupEventLog - otevření archivní kopie protokolu;
CloseEventLog - uzavření protokolu;
RegisterEventSource - otevřete protokol pro záznam událostí ze zadaného zdroje;
ReportEvent - záznam události do protokolu;
DeregisterEventSource - Zavřete protokol, který je otevřený pro zápis.

Zranitelnosti a způsoby ochrany

Správci mohou protokol prohlížet a mazat, není možné oddělit oprávnění pro čtení a mazání. Kromě toho může správce použít speciální nástroj Winzapper k odstranění záznamů o konkrétních událostech z protokolu. Z tohoto důvodu, pokud byl účet správce napaden hackery, se historie událostí obsažených v protokolu událostí stane nespolehlivou. Tomu můžete zabránit vytvořením vzdáleného serveru protokolů, ke kterému lze přistupovat pouze prostřednictvím konzoly.

Jakmile protokol dosáhne maximální povolené velikosti, může buď přepsat staré události, nebo zastavit nahrávání. Díky tomu je náchylný k útokům, při kterých se útočník snaží zaplnit protokol generováním velkého počtu nových událostí. Částečně proti tomu může pomoci zvýšení maximální velikosti protokolu. K naplnění protokolu by tedy bylo potřeba spustit více událostí. Protokolu můžete dát pokyn, aby nepřepisoval staré události, ale to může způsobit selhání.

Dalším způsobem, jak zaútočit na protokol událostí, je přihlásit se pomocí účtu správce a změnit zásady auditu, konkrétně zastavit zaznamenávání neoprávněné aktivity do protokolu. V závislosti na nastavení zásady auditu může být její změna protokolována. Tento záznam události lze vymazat pomocí Winzapper. Od této chvíle nebude aktivita zaznamenávána do protokolu událostí.

Samozřejmě ne všechny útoky potřebují přístup k logu. Ale protože víte, jak protokol událostí funguje, můžete přijmout opatření, abyste zabránili detekci. Například uživatel, který se chce přihlásit pomocí účtu kolegy v podnikové síti, může počkat, až bude moci počítač diskrétně používat. Poté pomocí hardwaru uhodne heslo a zaregistruje se do systému. Název uživatelského účtu je poté předán terminálovým službám s Wi-Fi hotspotem , jehož IP adresu nelze zpětně vysledovat k narušiteli.

Po vymazání protokolu pomocí Prohlížeče událostí se v čerstvě vyčištěném protokolu okamžitě vytvoří jeden záznam s uvedením času vymazání a výkonného správce. Tyto informace mohou být výchozím bodem při vyšetřování podezřelých aktivit.

Kromě protokolu událostí systému Windows mohou správci zkontrolovat také protokol zabezpečení brány firewall systému Windows .

Odkazy

O protokolování událostí . Knihovna MSDN . Microsoft (4. června 2012). Získáno 4. července 2012. Archivováno z originálu 8. srpna 2012.
The NT Security Log – Vaše nejlepší a poslední obrana , R. Franklin Smith
Winzapper FAQ , NTSecurity.
Bezpečnostní dohled a detekce útoků , Microsoft
Sledování aktivity přihlášení a odhlášení ve Windows 2000 , Microsoft
Protokolování událostí
Analýza protokolu zabezpečení systému Windows NT od Franklina R. Smithe
Může být čtení protokolu událostí Windows zábavné? Valerij Sidorov