Настройка размера и содержимого файла журнала

1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые события по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) измените максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Администрирование (Administrative Tools).

Типы регистрируемых событий Таблица 4.8

Идентификатор	Категория	Описание
	Системное событие	Перезагрузка операционной системы
	Системное событие	Завершение работы операционной системы (shutdown)
	Системное событие	Загрузка пакета аутентификации
	Системное событие	Запуск процесса аутентификации (в стандартной конфигурации WinLogon.exe)
	Системное событие	Сбой при ретистрации одного или нескольких событий аудита1
	Системное событие	Очистка журнала аудита
518 528	Системное событие Вход/выход пользователя \лз системы	Загрузка пакета оповещения об изменениях в списке пользователей Пользователь успешно вошел в систему
	Вход/выход пользователя из системы	Вход пользователя в систему запрещен -имя или пароль, введенные при входе в систему, некорректны
	Вход/выход пользователя из системы	Вход пользователя в домен в данное время запрещен
	Вход/выход пользователя из системы	Вход пользователя в систему запрещен -учетная запись пользователя заблокирована администратором
	Вход/выход пользователя из системы	Вход пользователя в Домен запрещен -учетная запись пользователя автоматически заблокирована по достижении определенной даты
	Вход/выход пользователя из системы	Вход пользователя в домен с данной рабочей станции запрещен
	Вход/выход пользователя из системы	Данный тип (интерактивный, сетевой или сервисный) входа пользователя в систему запрещен
	Вход/выход пользователя из системы	Вход пользователя в систему запрещен -пароль пользователя устарел
	Вход/выход пользователя из системы	Пользователь не смог войти в домен из-за сбоев сетевых сервисов
	Вход/выход пользователя из системы	Пользователь не смог войти в систему по какой-то другой причине
	Вход/выход пользователя из системы	Пользователь успешно вышел из системы

Продолжение табл. 4.8

Идентификатор	Категория	Описание
	Вход/выход пользователя из системы	Вход пользователя в систему запрещен -учетная запись пользователя автоматически заблокирована из-за превышения максимально допустимого количества попыток входа в систему с неверным паролем
	Доступ к объекту	Пользователь попытался открыть объект
	Доступ к объекту	Пользователь закрыл объект
	Использование опасных привилегий	В маркере доступа пользователя присутствует опасная привилегия
	Использование опасных привилегий	Предпринята попытка использования опасной привилегии при выполнении операции, не связанной с доступом к объектам3
	Использование опасных привилегий	Предпринята попытка использования опасной привилегии для получения доступа к объекту
	Запуск/завершение процессов	Запуск нового процесса
	Запуск/завершение процессов	Завершение процесса
	Запуск/завершение процессов	Дублирование дескриптора (handle) объекта
	Запуск/завершение процессов	Непрямой доступ к объекту
	Изменения в политике безопасности	Субъекту предоставлена новая привилегия
	Изменения в политике безопасности	У субъекта отнята привилегия
	Изменения в политике безопасности	Установлены доверительные отношения с другим доменом
	Изменения в политике безопасности	Доверительные отношения с другим доменом прекращены
	Изменения в политике безопасности	Изменена политика аудита
	Изменения в списке пользователей2	Создана учетная запись нового пользователя
	Изменения в списке пользователей	Изменен тип учетной записи
	Изменения в списке пользователей	С учетной записи пользователя снята блокировка
	Изменения в списке пользователей	Неудачная попытка изменить пароль пользователя
	Изменения в списке пользователей	Удачная попытка изменить пароль пользователя
	Изменения в списке пользователей	Учетная запись пользователя заблокирована

Окончание табл. 4.8

Идентификатор	Категория	Описание
	Изменения в списке пользователей	Учетная запись пользователя удалена
	Изменения в списке пользователей	Создана новая глобальная группа
	Изменения в списке пользователей	Пользователь добавлен в глобальную группу
	Изменения в списке пользователей	Пользователь удален из глобальной группы
	Изменения в списке пользователей	Глобальная группа удалена
	Изменения в списке пользователей	Создана новая локальная группа
	Изменения в списке пользователей	Пользователь добавлен в локальную группу
	Изменения в списке пользователей	Пользователь удален из локальной группы
	Изменения в списке пользователей	Локальная группа удалена
	Изменения в списке пользователей	Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой группе
	Изменения в списке пользователей	Произведены изменения в списке пользователей, не связанные с редактированием учетных записей
	Изменения в списке пользователей	Произведены изменения в учетной записи глобальной группы, не связанные с изменением членства пользователей в этой группе
	Изменения в списке пользователей	Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах

5. УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ ОТЧЕТА.
Отчет должен содержать:

название работы;
цель работы;
порядок действий по выполнению лабораторной работы;
выводы по результатам проделанной работы.

6. КОНТРОЛЬНЫЕ ВОПРОСЫ ПО ВЫПОЛНЕННОЙ РАБОТЕ.
1 Какие три журнала Windows XP Professional можно просматривать средствами утилиты просмотра событий? Для чего предназначен каждый из них?
2 Как просмотреть журнал безопасности удаленного компьютера?
3 Какие два способа поиска конкретных событий есть в утилите просмотра событий? Что позволяет делать каждая из команд?
4 Размер любого из журналов может изменяться от_____кбайт до______Гбайт, а по умолчанию он равен________кбайт.

Что происходит при переполнении журнала, если для него выбран параметр Не затирать события (очистка журнала вручную) (Do Not Overwrite Events)?