Windows Vista. Для профессионалов Клименко Роман
– vendorName – указывает производителя данного клиента SHA. Тип: string.
– Version – определяет версию данного клиента SHA. Тип: string.
• NAP_EnforcementClient – содержит информацию о зарегистрированных клиентах, доступ к которым можно ограничить (ЕС). Именно экземпляры этого класса отображаются в подразделе Клиенты системы ограничений оснастки Конфигурация клинета NAP. Данный класс включает в себя следующие свойства, доступные только для чтения.
– Description – содержит описание данного клиента ЕС. Тип: string.– f riendlyName – определяет название клиента ЕС. Тип: string.
– id – является ключевым. Оно определяет идентификатор клиента ЕС, по которому можно получить доступ к свойствам данного экземпляра класса. Тип: uint32.
– infoClsid – содержит CLSID-номер, который определяет интерфейс INapComponentlnfo СОМ-сервера. Тип: string.
– isBound – определяет, ограничен ли клиент ЕС агентом NAP. Тип: boolean.
– registrationDate – указывает дату регистрации данного клиента ЕС. Тип: string.
– vendorName – определяет производителя данного клиента ЕС. Тип: string.
– Version – указывает версию данного клиента ЕС. Тип: string.
Безопасность
Диспетчер авторизации
CLSID-номер оснастки: {1F5EEC01-1214-4D94-80C5-4BDCD2014DDD}.
Библиотека: azroleui.dll.
Используется в стандартных консолях: azman.msc.
Данная оснастка представляет собой нововведение операционной системы Windows Vista. С ее помощью можно управлять хранилищем авторизации, которое включает в себя данные менеджера авторизации, необходимые для работы некоторых программ.
Оснастка Диспетчер авторизации может работать только на локальном компьютере, и после ее первого запуска вам предложат создать хранилище авторизации. Если вы этого не сделаете, то при следующем запуске оснастки она сообщит вам о том, что хранилище авторизации не обнаружено. В этом случае нужно в меню Действие консоли выбрать команду Параметры. После этого перед вами отобразится окно, в котором можно выбрать режим работы с хранилищем авторизации. По умолчанию используется режим администратора, в котором можно только управлять готовым хранилищем авторизации. Если же нужно создать новое хранилище авторизации, то требуется перейти в режим разработчика (установить переключатель окна в положение Режим разработчика). После этого в меню Действие появится новая команда – Новое хранилище авторизации, с помощью которой можно создать новое хранилище авторизации.
Окно, вызываемое командой Новое хранилище авторизации (рис. 5.7), позволяет выбрать путь к хранилищу авторизации, его описание, а также формат файла, в котором хранилище будет содержаться. Возможны следующие форматы файла.
Рис. 5.7. Окно создания хранилища авторизации
• Служба Active Directory или ADAM (Active Directory Application Mode) – позволяет содержать хранилище авторизации на контроллере домена Active Directory. В этом случае указывать путь к хранилищу авторизации не нужно.
• Файл XML – позволяет содержать хранилище авторизации в XML-файле. Это наиболее медленный и небезопасный способ хранения, но для его использования не требуется ни разворачивания домена Active Directory, ни установки базы данных Microsoft SQL. По умолчанию хранилище авторизации будет содержаться в папке Документы профиля пользователя.
• Сервер Microsoft SQL – позволяет содержать хранилище авторизации в базе данных SQL. В этом случае нужно указать путь к серверу SQL.
Можно также выбрать версию схемы для создаваемого хранилища авторизации. Вторая версия более функциональна, чем первая, но к ней не смогут получить доступ клиенты, использующие первую версию схемы.
После того как вы создадите хранилище авторизации, оно автоматически будет загружено в оснастку Диспетчер авторизации. Созданное вами хранилище пока что является пустым, и для его использования нужно создать набор групп пользователей, к которым будут применяться настройки этого хранилища. Но сначала рассмотрим параметры настройки самого хранилища авторизации. Для их отображения нужно выбрать команду Свойства из контекстного меню созданного вами хранилища авторизации (то есть из контекстного меню раздела Корень консоли Диспетчер авторизации «название вашего хранилища авторизации» консоли управления Microsoft). После этого перед вами отобразится окно, представленное на рис. 5.8.
Рис. 5.8. Свойства хранилища авторизации
Оно содержит следующие вкладки.
• Общие – позволяет изменить путь к хранилищу авторизации, его название и описание.
• Число попыток – дает возможность настроить таймаут ожидания ответа от запросов LDAP, применения правил хранилища авторизации, а также максимальное количество кэшируемых правил хранилища авторизации.
• Безопасность – позволяет определить права доступа к хранилищу авторизации определенных учетных записей пользователей. Пользователи могут обладать либо правами администратора, либо только правами на чтение.
• Аудит – дает возможность определить, будет ли производиться аудит изменений в хранилище авторизации, а также аудит работы приложений.Создание групп пользователей
После этого в контекстном меню раздела Группы хранилища авторизации нужно выбрать команду Новая группа приложения. Это приведет к отображению окна Создание группы пользователей приложения (рис. 5.9). С его помощью можно указать имя группы, ее описание, а также тип. В зависимости от типа группы изменяется способ добавления учетных записей пользователей к ней. Существуют следующие типы групп.
Рис. 5.9. Окно создания группы
• Группа приложений бизнес-правила – пользователи добавляются в группу на основе сценария, создаваемого непосредственно в окне свойств группы, или сценария, хранящегося в одной из папок файловой системы компьютера. Сценарий можно создавать как на языке Jscript, так и на VBScript.
• Группа приложений запросов LDAP – пользователи добавляются в группу на основе создаваемого на вкладке Запрос окна свойств группы, запроса к каталогу Active Directory.
• Группа основных приложений – стандартная группа, пользователи которой могут добавляться как с помощью других групп хранилища авторизации, так и с помощью стандартного выбора учетной записи пользователя, имеющейся на этом компьютере или компьютере контроллера домена. Окно свойств данной группы содержит вкладки Члены группы и Исключения. С помощью первой вкладки можно указать пользователей, входящих в группу, а с помощью второй вкладки – пользователей, не входящих в группу. Обе вкладки содержат раскрывающийся список Выбрать дополнительных участников из, с помощью которого можно выбрать либо добавление пользователей на основе уже существующих в хранилище авторизации групп (Диспетчер авторизации), либо добавление учетной записи локального пользователя операционной системы (Windows и Active Directory).
После того как будет создана группа нужного вам типа, в нее нужно добавить пользователей. Независимо от типа группы это делается с помощью команды Свойства контекстного меню созданной группы.Создание авторизированных приложений
Для создания нового авторизированного приложения нужно войти в хранилище авторизации в режиме разработчика (не забывайте, что по умолчанию выполняется вход в режиме администратора). После этого в контекстном меню хранилища авторизации появится команда Новое приложение, выбор которой приведет к отображению одноименного окна, с помощью которого можно указать название нового приложения.
После создания нового приложения в разделе хранилища авторизации будет создан подраздел, названный в честь указанного вами имени приложения. В этом подразделе будут присутствовать три дочерних подраздела: Группы, Определения и Назначения ролей (рис. 5.10). Работа с подразделом Группы ничем не отличается от работы с одноименным подразделом хранилища авторизации.
Рис. 5.10. Окно консоли azman.msc с загруженным хранилищем
Просмотр событийCLSID-номер оснастки: {b05566ad-f e9c-4363-be05-7a4cbb7cb510 }.
Библиотека: EventViewer.dll.
Используется в стандартных консолях: comexp.msc (расположена в каталоге %systemroot%\system32\com), compmgmt.msc, eventvwr.msc. Эту оснастку можно запустить и с помощью программы eventvwr.ехе. Особенностью такого запуска является возможность использования параметров данной программы, с помощью которых можно указать удаленный компьютер, фильтр и т. д. Более подробно о параметрах этой программы можно узнать, если вызвать команду eventvwr.exe/?.
При запуске данной оснастки нужно указать компьютер, информация которого будет загружена в оснастку. Оснастка Просмотр событий не является нововведением операционной системы Windows Vista. Как и раньше, она позволяет получить доступ к системным журналам, содержащим сведения о работе компонентов операционной системы и сторонних программ. Однако интерфейс оснастки Просмотр событий существенно изменился.
После загрузки оснастки перед вами отобразится окно, прдставленное на рис. 5.11.
Рис. 5.11. Окно оснастки Просмотр событий
Оснастка Просмотр событий состоит из четырех разделов: Настраиваемые представления, Журналы Windows, Журналы приложений и служб и Подписки. Но перед тем как описывать эти разделы, стоит сказать несколько слов и об основном окне оснастки.
Основное окно оснастки
Основное окно отображается при выделении раздела Просмотр событий оснастки. Часть этого окна представлена на рис. 5.11. Оно содержит набор полей, отображающих статистику возникновения ошибок, а также позволяющих быстро получить доступ к последним возникшим ошибкам.
Основное окно оснастки состоит из следующих полей.
• Сводка административных событий – хранит статистику возникновения записей определенного типа: Критический, Ошибка, Предупреждение, Сведения и Аудит выполнен успешно. При этом определяется как общее количество записей определенного типа, содержащихся в журнале, так и количество ошибок, произошедших за последний час, день и неделю. Кроме того, если вы раскроете список определенного типа записей, то сможете просмотреть названия служб и программ, которые сгенерировали записи (а также название журнала, в котором находится запись, и идентификатор события). С помощью данного списка вы также сможете просмотреть количество таких записей (отображается и количество записей от конкретной службы, полученных за последний час, день, неделю, и общее количество записей, созданных данной службой или программой).
Если вы дважды щелкнете кнопкой мыши на названии службы или программы, сгенерировавшей определенные записи, то перейдете в раздел оснастки Настраиваемые представления, в котором автоматически будет создан подраздел, содержащий информацию обо всех записях, сгенерированных данной службой. Соответственно, вы сможете просмотреть как общие сведения о записях, созданных службой, так и описание этих записей.
Можно также получить список всех записей определенного типа. Для этого нужно в контекстном меню типа записи поля Сводка административных событий выбрать команду Просмотр всех экземпляров этого события. После этого вы также перейдете в раздел оснастки Настраиваемые представления. В нем будет автоматически создан подраздел, содержащий список всех записей выбранного вами типа.
• Недавно просмотренные узлы – содержит список журналов, а также подразделов раздела оснастки Настраиваемые представления, которые в последнее время были изменены или созданы. Соответственно, для каждого элемента списка данного поля присутствует дата изменения и создания.
Кроме того, с помощью команды Просмотр событий в настраиваемом представлении или журнале контекстного меню элемента списка данного поля можно быстро перейти в соответствующий журнал или подраздел раздела Настраиваемые представления оснастки.
• Сводка журнала – хранит сведения обо всех журналах, отображаемых в оснастке Просмотр событий. Среди предоставляемых данным полем сведений имеется путь к журналу, его текущий размер, дата последнего изменения, разрешено ли заносить записи в журнал, а также тип очистки журнала (будет ли он перезаписываться при преодолении определенного размера, будет ли выполняться архивная копия).
С помощью команды Просмотр событий в журнале контекстного меню определенного журнала, отображаемого в поле Сводка журнала, можно также быстро перейти в раздел соответствующего журнала.Раздел Настраиваемые представления
Раздел Настраиваемые представления предназначен для хранения фильтров, на основе которых генерируется список определенных записей. Фильтры хранятся в виде подразделов данного раздела, и с помощью поля Сводка административных событий основного окна оснастки мы уже создавали такие фильтры.
Однако определенный фильтр можно создать и вручную. Для этого в контекстном меню раздела Настраиваемые представления нужно выбрать команду Создать настраиваемое представление. После этого отобразится окно, представленное на рис. 5.12.
Рис. 5.12. Окно создания пользовательского фильтра
Основная работа по настройке фильтра выполняется на вкладке Фильтр данного окна. Она содержит следующие элементы.
• Дата – этот раскрывающийся список позволяет указать определенные дни. Записи, созданные в эти дни, должны быть отображены в результате применения создаваемого фильтра. Список позволяет как указать отображение записей, созданных за последний час, день и т. д., так и более точно настроить дни с помощью элемента списка Настраиваемый диапазон, после выбора которого отобразится окно, где можно указать начальный и конечный день и час.
• Уровень события – содержит набор флажков, определяющих типы записей, которые должны быть отображены после применения фильтра.
• Журналы событий – этот раскрывающийся список позволяет определить журналы, в которых будет выполнен поиск записей. После раскрытия списка перед вами отобразится дерево журналов оснастки Просмотр событий. Напротив каждого журнала этого дерева расположен снятый флажок. Чтобы включить поиск в нужных журналах, необходимо установить флажки напротив них.
• Источники событий – позволяет определить службу, программу или компонент операционной системы, чьи записи должны быть отображены после применения фильтра.
• Включение или исключение кодов событий – это текстовое поле позволяет указать идентификаторы событий, записи которых должны быть отображены после применения фильтра, или, наоборот, не должны быть отображены. Идентификаторы событий пишутся через запятую. Если нужно указать идентификатор события, записи которого не будут отображаться, перед ним надо поставить знак минус (-).
• Категория задачи – в этом текстовом поле можно указать категорию задач, которые должны отображаться после применения фильтра.
• Ключевые слова – позволяет указать ключевые слова, которые должны встречаться в записи, чтобы она осталась после применения фильтра.
• Пользователь – в этом текстовом поле можно указать пользователя, при работе которого были созданы нужные записи.
• Компьютеры – позволяет указать компьютер, на котором были созданы нужные записи.
После того как вы настроите фильтр с помощью вкладки Фильтр, можно перейти на вкладку XML, чтобы подкорректировать его. Она содержит поле, в котором отображается созданный вами запрос к системным журналам. Если вы установите флажок Изменить запрос вручную, то сможете самостоятельно изменить созданный запрос.
После того как фильтр будет окончательно создан, достаточно нажать кнопку О К, что приведет к открытию окна с просьбой ввести название нового фильтра, его описание, а также указать подраздел раздела Настраиваемые представления, в котором будет создан фильтр. После этого в разделе Настраиваемые представления появится новый подраздел с указанным вами именем, и вы автоматически перейдете в него.
Если вы уже создали свой фильтр, но хотели бы подправить некоторые его параметры, не нужно создавать новый фильтр. Достаточно в контекстном меню созданного фильтра выбрать команду Фильтр. После этого отобразится уже знакомое вам окно (представлено на рис. 5.12), в котором можно изменить параметры фильтра.
Кроме того, с помощью контекстного меню созданного фильтра можно выполнить такие действия, как поиск в результатах применения фильтра (команда Найти), экспортирование фильтра в файл (Экспортировать настраиваемое представление), импортирование фильтра из файла (Импортировать настраиваемое представление), а также удаление фильтра (Удалить).Раздел Журналы Windows Этот раздел содержит список основных стандартных журналов операционной системы. Помимо стандартных для предыдущих версий операционных систем Windows журналов Приложение, Безопасность и Система, данный раздел содержит два новых журнала: Настройка и Пересланные события (они не относятся к стандартным журналам операционной системы, так как значок, отображаемый напротив них, отличается от значков стандартных журналов, отображаемых напротив журналов Приложение, Безопасность и Система). Первый из них определяет записи, созданные операционной системой Windows Vista, ее компонентами или сторонними программами в процессе их установки. Второй же определяет записи о произошедших событиях, на которые вы самостоятельно подписались.
Примечание
Как и раньше, просмотреть содержимое записей в стандартных журналах операционной системы можно и с помощью репозитария CIM. Для этого достаточно воспользоваться классом Win32_NTLogEvent, принадлежащим пространству имен \\root\cimv2. Например, данный класс поддерживает следующие свойства: CategoryString (определяет категорию записи), ComputerName (определяет название компьютера, на котором была сгенерирована запись), Туре (определяет тип записи, например ошибка, предупреждение, информация, аудит-успех, аудит-отказ), Logfile (ключевое свойство, определяющее стандартный журнал, в котором хранится данная запись), Message (определяет содержимое записи), RecordNumber (ключевое свойство, определяющее номер записи в журнале), SourceName (определяет создателя записи), TimeGenerated (определяет время создания записи).
Если какой-то журнал содержит слишком много записей, то к его содержимому также можно применить фильтр. Для этого в контекстном меню раздела журнала нужно выбрать команду Фильтр. После этого отобразится уже знакомое вам окно настройки фильтра, однако отличием создаваемого фильтра является то, что он применяется непосредственно к записям выбранного журнала, а не создает подраздел в разделе Настраиваемые представления. Поэтому после работы с результатами фильтра нужно будет установить фильтр по умолчанию, чтобы отображались все записи журнала.
Можно также выполнить поиск записи по части слова. Для этого применяется команда Найти контекстного меню раздела журнала. А с помощью команды Очистить журнал контекстного меню можно очистить журнал от хранящихся в нем записей.
Если же вам необходимо изменить настройки ведения определенного системного журнала, то в его контекстном меню нужно выбрать команду Свойства, после чего отобразится окно Свойства журнала. С его помощью можно изменить путь к журналу, его максимальный размер, а также действия при достижении максимального размера (очищать журнал, архивировать его или ничего не делать). Используя окно Свойства журнала, можно также просмотреть дату создания журнала и его текущий размер.
Примечание
Настройки стандартных журналов операционной системы можно просмотреть с помощью класса Win32_NTEventlogFile, принадлежащего пространству имен \\root\cimv2. Например, данный класс поддерживает следующие свойства: FileName (определяет имя журнала), FileSize (определяет размер журнала), LastModified (определяет дату последнего изменения журнала), MaxFileSize (определяет максимальный размер журнала), Name (ключевое свойство, определяющее путь к файлу журнала и его имя). NumberOfRecords (определяет количество записей в журнале), OverwriteOutDated (определяет интервал хранения записей в журнале), Sources (содержит список источников, которые могут создавать записи в данном журнале). Этот класс также поддерживает следующие методы: BackupEventlog (выполнить архивирование записей, хранящихся в журнале), ClearEventlog (очистить содержимое журнала).
Эти настройки можно изменить и с помощью групповых политик, описанных в файле EventLog.admxn расположенных в подразделах Приложение, Безопасность, Настройка и Система раздела Конфигурация компьютера Административные шаблоны Компоненты Windows Служба журнала событий. Данные политики влияют на параметры подразделов ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Windows\EventLog.
В операционной системе Windows Vista запись сведений в стандартные журналы (а также в журналы раздела Журналы приложений и служб) основана на каналах. Каждый журнал имеет свой собственный канал, название которого отображается в поле Канал окна Свойства журнала. Например, для журнала Пересланные события канал также называется Пересланные события. Сведения о настройках каналов хранятся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\WINEVT\Channels. Каждый канал имеет свой собственный подраздел в данной ветви реестра , название которого соответствует названию канала. Все каналы операционной системы имеют одни и те же параметры реестра , влияющие на их работу. Вот некоторые из них.
• Enabled – этот параметр REG_DWORD-типа определяет, разрешено ли заносить записи в журнал, который использует данный канал. Значение данного параметра может изменяться с помощью флажка Включить ведение журнала окна Свойства журнала. Однако с помощью данного окна это можно сделать не для всех журналов. Например, для журнала Пересланные события данный флажок изменять нельзя, хотя можно отключить канал Пересланные события непосредственно с помощью параметра Enabled.
• BufferSize – параметр имеет REG_DWORD-тип и определяет размер буфера, используемого каналом.
• File – этот параметр строкового типа определяет путь к файлу, который используется журналом, основанным на данном канале. Значение данного параметра отображается в поле Путь журнала окна Свойства журнала.
• MinBuffers – параметр имеет REG_DWORD-тип и определяет минимальное количество буферов, используемых каналом.
• MaxBuffers – этот параметр REG_DWORD-типа определяет максимальное количество буферов, используемых каналом.
• MaxSize – имеет REG_DWORD-тип и определяет максимальный размер журнала (в байтах), использующего данный канал. Значение этого параметра также можно изменить с помощью поля Макс, размер журнала (КБ) окна Свойства журнала.
• AutoBackupLogFiles – этот параметр REG_DWORD-типа определяет, будет ли автоматически архивироваться журнал, созданный на основе данного канала, перед удалением или перезаписью (когда журнал достиг максимального размера). Значение данного параметра равно 1, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Архивировать заполненный журнал, не переписывая события.
• ChannelAccess – имеет строковый тип и определяет права доступа к каналу и, соответственно, к журналу, использующему этот канал.
• Retention – этот параметр REG_DWORD-типа определяет интервал времени (в часах), по истечении которого операционная система будет очищать содержимое журнала, основанного на данном канале. Значение данного параметра равно 0, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Переписывать события при необходимости. В остальных случаях значение данного параметра равно 0xf f f f f f f f.
• Type – параметр имеет REG_DWORD-тип и определяет, будет ли отображаться журнал в оснастке eventvwr.msc. Если значение данного параметра равно 1, то журнал отображается. Если же значение данного параметра равно 2 или 3, то журнал в оснастке eventvwr. msс отображаться не будет, так как он используется для других целей. Например, таким способом скрыты журналы ADSI/ Debug, Alt-Tab/Diagnostic и т. д.
Однако в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows\ CurrentVersion\WINEVT\Channels содержатся сведения не обо всех каналах. Сведения о стандартных каналах (и стандартных журналах, которые их используют) хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ services\eventlog. В операционной системе Windows Vista к стандартным каналам относятся следующие: Приложение, События оборудования, Internet Explorer, Media Center, Безопасность и Система. Каждый из этих каналов имеет одноименный подраздел в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ s ervi се s\ event log. Эти подразделы могут хранить те же параметры, что и подразделы ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Miегоsoft\Windows\ CurrentVersion\WINEVT\Channels. Однако подразделы Application, Security и System также могут содержать следующие дополнительные параметры.
• DisplayNameFile – этот параметр строкового типа определяет путь к библиотеке, в которой ранится название журнала. Однако вместо библиотеки в нем можно указать само название журнала.
• DisplayNamelD – параметр имеет REG_DWORD-тип и определяет смещение в библиотеке, по которому хранится название журнала. Если в параметре
DisplayNameFile указано непосредственно название журнала, то этот параметр использовать необязательно.
• PrimaryModule – этот параметр строкового типа определяет название основного модуля операционной системы, который управляет работой данного стандартного журнала.
• RestrictGuestAccess – если значение данного параметра REG_DWORD-типа равно 1, то пользователь Гость не сможет получить доступ к содержимому данного журнала.
Подразделы Application, Security и System включают в себя вложенные подразделы, определяющие службы и программы, которые могут заносить записи в соответствующий журнал. Например, вы можете удалить некоторые из вложенных подразделов, чтобы записи от программ, которые описываются подразделами, не заносились в журнал.
Для примера попробуем создать свой собственный журнал, который будет отображаться в подразделе Журналы приложений и служб оснастки eventvwr.msc. Он будет называться Disk и содержать сведения о проверке жесткого диска, а также о квотах. В листинге 5.1 представлен пример REG-файла, который создает соответствующий журнал. После импортирования приведенного в листинге REG-файла сведения о проверке жесткого диска и изменении квот будут заноситься сразу в два журнала – Disk и Приложение. Если же нужно, чтобы сведения не заносились в журнал Приложение, то подразделы Chkdsk и DiskQuota нужно удалить из ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\ Application.
Листинг 5.1. Создаем свой журнал
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Disk]
«DisplayNameFile»=hex(2):44,69,73,6b,00
«File»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,77,69,6e,65,
76,74,5c,4c,6f,67,73,5c,44,69,73,6b,2e,65,6c,66,00
«MaxSize»=dword:01400000
«PrimaryModule»="Disk"
«Retention»=dword:00000000
«RestrictGuestAccess»=dword:00000001
«AutoBackupLogFiles»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Disk\Chkdsk]
«TypesSupported»=dword:00000007
«EventMessageFile»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,
32,5c,75,6c,69,62,2e,64,6c,6c,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Disk\DiskQuota]
«EventMessageFile»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,
5c,64,73,6b,71,75,6f,74,61,2e,64,6c,6c,00
«TypesSupported»="0x00000007"
Еще одним изменением оснастки Просмотр событий является отображение сведений о записи непосредственно в ее окне. Однако те же сведения можно отобразить в отдельном окне, дважды щелкнув кнопкой мыши на нужной записи (рис. 5.13). Отображаемое после этого окно содержит две вкладки: Общие и Подробности. Первая отображает информацию о записи и создавшей ее программе или службе, а также общее описание записи. Вторая же вкладка включает в себя расширенные сведения о записи. При этом она содержит переключатель, который можно установить в одно из следующих положений: Понятное представление и Режим XML. Установив его в первое положение, можно отобразить только сведения о записи, тогда как установка во второе положение отображает также саму структуру XML-файла, который генерирует эти сведения.
Рис. 5.13. Окно сведений о записи
Раздел Журналы приложений и служб
Данный раздел содержит записи из других журналов, которые не являются системными, но создаются стандартными программами и службами операционной системы Windows Vista. Иначе говоря, если раньше вам приходилось каждый день просматривать множество файлов журналов, расположенных в каталоге %systemroot% и его подкаталогах, то теперь содержимое всех этих файлов журналов отображается в оснастке Просмотр событий, что позволяет упростить процесс администрирования операционной системы.
Раздел Журналы приложений и служб включает в себя следующие подразделы.
• Репликация DFS – определяет события, которые произошли при работе службы Репликация DFS.
• События оборудования – указывает события, которые возникли при работе компонентов компьютера.
• Internet Explorer – определяет записи, которые получены от браузера Internet Explorer.
• Media Center – указывает записи, которые получены от оболочки Windows Media Center.
• Microsoft – по умолчанию содержит вложенный раздел Windows, в котором хранятся дочерние подразделы, названные в честь служб и компонентов операционной системы Windows Vista. Эти подразделы хранят журналы работы соответствующих служб и компонентов операционной системы. Например, обратите внимание на подраздел CodeIntegrity, журнал которого содержит сведения о неподписанных драйверах, запускаемых пользователем.Примечание
В каталоге %userprofile%\AppData\Local\Microsoft\Event Viewer находится файл Settings.xml. Он содержит настройки оснастки Просмотр событий, описанные в XML-формате. Одной из таких настроек является тег <DirectChannelsVisible>. Если между скобками установить значение 1, то в разделе Журналы приложений и служб оснастки также будут отображаться журналы, содержащие сведения об отладке и трассировке компонентов операционной системы (напротив этих журналов отображаются значки зеленого и синего цвета). По умолчанию данные журналы не отображаются.
Работа со всеми этими журналами аналогична работе со стандартными журналами операционной системы.
Раздел Подписки
С помощью данного раздела можно подписаться на события (под событием понимается создание записи от определенной службы или компонента операционной системы в системном журнале удаленного компьютера), возникающие на удаленных компьютерах. Когда событие, на которое вы подписались, произойдет, будет создана соответствующая запись в журнале Пересланные события (по умолчанию, но его можно изменить).
Чтобы подписаться на событие, нужно в контекстном меню раздела Подписки выбрать команду Создать подписку. После этого отобразится окно, представленное на рис. 5.14.
Рис. 5.14. Окно создания подписки на события
В окне расположены следующие элементы. • Название подписки – определяет название подписки. Можете указать любое.
• Описание – указывает описание подписки.
• Журнал на конечном компьютере – этот раскрывающийся список позволяет указать журнал, в который будут помещаться записи о возникающих событиях, указанных в данной подписке. По умолчанию используется стандартный журнал Пересланные события. Однако вы можете выбрать любой другой несистемный журнал.
• Исходные компьютеры – поле содержит список компьютеров, на которых будет отслеживаться возникновение определенных событий. С помощью кнопки Добавить можно добавить в список новый компьютер. С помощью кнопки Удалить можно удалить определенный компьютер из списка. С помощью кнопки Проверить можно послать запрос WinRM, чтобы проверить корректность работы необходимых служб.
• Выбрать события – этот раскрывающийся список позволяет создать новый фильтр либо воспользоваться уже существующим. Если вы выберете элемент Изменить данного списка, то откроется уже знакомое вам окно создания фильтра. Именно на основе данного фильтра будут определяться записи журналов удаленного компьютера, которые будут отображаться в журнале Пересланные события локального компьютера.
• Дополнительно – после нажатия данной кнопки перед вами отобразится окно Дополнительные параметры подписки. С его помощью можно изменить учетную запись, от имени которой будет выполняться подписка на события, а также порт, по которому будет установлено соединение с удаленным компьютером, и один из режимов оптимизации использования пропускной способности сети.
Существует несколько режимов оптимизации: Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная. Друг от друга они отличаются значениями четырех параметров реестра , которые расположены соответственно в подразделах Custom, MinBandwidth, MinLatency и Normal ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Conf igurationModes. Вот эти параметры реестра.
• DeliveryMode – имеет строковый тип и может принимать значения push (используется режимами оптимизации Уменьшенная пропускная способность и Уменьшенная задержка) или pull (используется режимами оптимизации Настраиваемая и Обычная). Он определяет способ доставки событий (кто именно инициирует процесс доставки сведений о событии).
• HeartBeatlnterval – параметр имеет тип REG_DWORD и определяет интервал проверки возникновения событий. Значение данного параметра равно 3600000, 21600000, 3600000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.
• MaxI terns – параметр REG_DWORD-типа. Он определяет максимальное количество событий в коллекции. Для режима оптимизации Обычная значение данного параметра равно 5, а для остальных режимов – 2 0.
• MaxLatencyTime – имеет тип REG_DWORD и определяет максимальное время ожидания возникновения событий. Значение данного параметра равно 900000, 21600000, 30000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.
Сведения о созданных подписках хранятся в ветви реестра НКЕ Y_LOC AL_MACH INE \ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Subscriptions. Каждая созданная подписка имеет в этой ветви свой собственный подраздел, название которого соответствует названию подписки. Каждый из этих подразделов хранит одни и те же параметры, большинство из которых изменяются с помощью окна Свойства подписки. Знание этих параметров может пригодиться при автоматическом создании подписок. Кроме того, чтобы создать подписку с помощью окна Свойства подписки, необходимо получить доступ к компьютеру-назначению по сети (если доступ к нему в данный момент отсутствует, то вы не сможете создать подписку). А при создании подписки с помощью реестра не имеет значения, доступен ли удаленный компьютер в данный момент.
• Enabled – этот параметр REG_DWORD-типа определяет, выполняется ли сбор событий на основе подписки в данный момент.
• Conf igurationMode – имеет строковый тип и определяет используемый подпиской режим оптимизации. Он может принимать следующие значения: Normal, Custom, MinBandwidth, MinLatency.
• Query – этот параметр строкового типа указывает запрос. На основе этого запроса определяются события, на которые выполнена данная подписка.
• TransportName – имеет строковый тип и определяет протокол, используемый для транспортировки событий. По умолчанию используется протокол HTTP, однако можно присвоить данному параметру значение HTTPS, чтобы использовался защищенный протокол.
• TransportPort – этот параметр строкового типа определяет порт, используемый для транспортировки событий.
• DeliveryMode, Maxltems, MaxLatencyTime, HeartBeatlnterval – смотрите одноименные параметры подразделов ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Conf igurationModes, описанные выше.
• CommonUserName – этот параметр строкового типа определяет имя пользователя, от имени которого выполняется подключение к удаленному компьютеру.
• CredentialType – имеет строковый тип и определяет тип аутентификации пользователя на удаленном компьютере. По умолчанию используется значение Default.
Кроме того, существует несколько параметров реестра , влияющих на работу всех подписок. Они содержатся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Globals и имеют ТИП REG_DWORD:
• Retrylnterval – определяет интервал, с которым операционная система будет пытаться получить сведения о возникшем событии, на которое есть подписка;
• RetryCount – указывает максимальное количество повторов на получение сведений о событии.
Работа со стандартными журналами Windows с помощью команды wevtutil.exe
Работать со стандартными журналами Windows можно и с помощью новой программы командой строки операционной системы Windows Vista. Чтобы просмотреть полный перечень возможностей данной команды и их описание, нужно воспользоваться командой wevtutil /?. Мы же на страницах данной книги рассмотрим только основные команды данной программы.
• Wevtutil el – отображает список стандартных журналов операционной системы локального компьютера.
• Wevtutil el /г:<компьютер> /и:<пользователь> /р:<пароль>– выводит список стандартных журналов операционной системы удаленного компьютера, используя для подключения к нему указанное имя пользователя и пароль. Можно также использовать параметр /а: для определения способа аутентификации пользователя на удаленном компьютере. Можно указать следующие значения данного параметра: Default, Negotiate, Kerberos или NTLM.
• Wevtutil gl <имя стандартного журнала> – отображает настройки стандартного журнала локального или удаленного компьютера. Эта команда выводит следующие настройки журналов: имя, включен или отключен в данный момент, тип, имя создателя, права доступа, путь к файлу, максимальный размер файла, выполняется ли его автоматическая архивация и т. д.
• Wevtutil si <имя стандартного журнала> <изменяемый параметр журнала> – позволяет изменить параметры работы определенного журнала. Они изменяются с помощью следующих установок.
– /e:<true или false> – позволяет включить или отключить запись в данный журнал.
– /i:<определяет способ изоляции> – позволяет изменить способ изоляции, определяющий сессию, с которой данный журнал разделяет работу. Например, значение данного параметра может быть равно system или application.
– /lfn:<новое имя журнала> – изменяет имя выбранного журнала.
– /rt:<true или false> —если значение данного параметра равно false, то новые события будут переписывать собой старые события журнала. В противном случае старый файл журнала будет сохраняться.
– /ab:<true или false> – позволяет включить или отключить автоматическую архивацию файла журнала. Если автоматическая архивация должна быть включена, то также должно быть включено значение параметра /rt:.
– /ms: <максимальный размер> – определяет максимальный размер файла журнала в байтах. Минимальное значение данного параметра может быть равно 104 857 6.
– /l: <уровень> – указывает уровень фильтрации содержимого создаваемого файла журнала.
– /к:<ключевые слова> – определяет ключевые слова для фильтрации содержимого журнала.
– /са: – справа доступа> – указывает права доступа на регистрацию событий в журнале (в формате SDDL).
– /с: <путь к файлу XML> – определяет путь к файлу, содержащему новые настройки журнала. Синтаксис данного файла приведен в описании программы, и его можно отобразить, введя команду wevtutil /si /?.
• Wevtutil ер – отображает список провайдеров, которые могут заносить сведения о своей работе в стандартные журналы операционной системы.
• Wevtutil gp <имя провайдера> – выводит основные сведения о данном провайдере. К списку основных сведений относятся: имя и CLSID-номер провайдера, путь к библиотеке провайдера, ссылка на ресурс сайта Microsoft, описывающий назначение данного провайдера, название журнала, в который провайдер записывает свои сведения, идентификатор записей и т. д.
• Wevtutil epl <имя стандартного журнала> <путь к файлу с расширением ELF> – экспортирует содержимое стандартного журнала локального или удаленного компьютера в ELF-файл.
• Wevtutil cl <имя стандартного журнала> – очищает содержимое указанного стандартного журнала.
Программа eventcreate.exeРасположение: %systemroot%\system32\eventcreate.ехе.
Никуда не исчезла и стандартная программа командной строки eventcreate.ехе, с помощью которой можно создавать в стандартных журналах операционной системы свои записи. Поскольку эта программа не является чем-то новым, мы просто о ней упомянем.
Основной синтаксис этой программы следующий: eventcreate /t <тип события> /id – ^идентификатор события> /1 <название журнала> /d <описание>. Здесь:
• тип события может принимать следующие стандартные значения: ERROR, WARNING, INFORMATION И SUCCESS;
• идентификатор должен быть числом от 1 до 1000;
• название журнала может принимать только следующие значения: Application, System или название любого другого журнала из раздела Applications and Services Logs оснастки Просмотр событий.
Управление групповой политикойCLSID-номер оснастки: {E12BBB5D-D59D-4E61-947A-301D25AE8C23}.
Библиотека: GPOAdmin.dll.
Используется в стандартных консолях: gpmc.msc.
Оснастка может использоваться только на компьютерах, подключенных к домену Active Directory. В этом случае она представляет собой более функциональную оснастку, чем стандартная оснастка Редактор объектов групповой политики.
Оснастка Управление групповой политикой состоит из следующих оснасток и утилит Active Directory: Active Directory Users and Computers, Active Directory Sites and Services и Resultant Set of Policy. С ее помощью удобно управлять групповыми политиками в каждом лесе корпоративной среды. Для каждого леса отображаются следующие подразделы данной оснастки:
• Domains – содержит информацию обо всех доменах, из которых состоит данный лес;
• Sites – хранит информацию обо всех узлах, из которых состоит данный лес;
• Group Policy Modeling – позволяет выполнить моделирование групповой политики для определенного компьютера или пользователя на основе только что измененных групповых политик (которые еще не вступили в силу);
• Group Policy Results – дает возможность выполнить моделирование групповой политики для определенного компьютера или пользователя на основе уже применяющихся политик.
В контексте этой книги мы не будем подробно рассматривать данную оснастку.
Редактор объектов групповой политикиCLSID-номер оснастки: {8FC0B734-A0E1-11D1-A7D3-0 0 0 0F87571E3}.
Библиотека: GPEdit.dll.
Используется в стандартных консолях: gpedit.msc.