1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые события по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) измените максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Администрирование (Administrative Tools).
Типы регистрируемых событий Таблица 4.8
| Идентификатор | Категория | Описание |
| Системное событие | Перезагрузка операционной системы | |
| Системное событие | Завершение работы операционной системы (shutdown) | |
| Системное событие | Загрузка пакета аутентификации | |
| Системное событие | Запуск процесса аутентификации (в стандартной конфигурации WinLogon.exe) | |
| Системное событие | Сбой при ретистрации одного или нескольких событий аудита1 | |
| Системное событие | Очистка журнала аудита | |
| 518 528 | Системное событие Вход/выход пользователя \лз системы | Загрузка пакета оповещения об изменениях в списке пользователей Пользователь успешно вошел в систему |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -имя или пароль, введенные при входе в систему, некорректны | |
| Вход/выход пользователя из системы | Вход пользователя в домен в данное время запрещен | |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -учетная запись пользователя заблокирована администратором | |
| Вход/выход пользователя из системы | Вход пользователя в Домен запрещен -учетная запись пользователя автоматически заблокирована по достижении определенной даты | |
| Вход/выход пользователя из системы | Вход пользователя в домен с данной рабочей станции запрещен | |
| Вход/выход пользователя из системы | Данный тип (интерактивный, сетевой или сервисный) входа пользователя в систему запрещен | |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -пароль пользователя устарел | |
| Вход/выход пользователя из системы | Пользователь не смог войти в домен из-за сбоев сетевых сервисов | |
| Вход/выход пользователя из системы | Пользователь не смог войти в систему по какой-то другой причине | |
| Вход/выход пользователя из системы | Пользователь успешно вышел из системы |
Продолжение табл. 4.8
| Идентификатор | Категория | Описание |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -учетная запись пользователя автоматически заблокирована из-за превышения максимально допустимого количества попыток входа в систему с неверным паролем | |
| Доступ к объекту | Пользователь попытался открыть объект | |
| Доступ к объекту | Пользователь закрыл объект | |
| Использование опасных привилегий | В маркере доступа пользователя присутствует опасная привилегия | |
| Использование опасных привилегий | Предпринята попытка использования опасной привилегии при выполнении операции, не связанной с доступом к объектам3 | |
| Использование опасных привилегий | Предпринята попытка использования опасной привилегии для получения доступа к объекту | |
| Запуск/завершение процессов | Запуск нового процесса | |
| Запуск/завершение процессов | Завершение процесса | |
| Запуск/завершение процессов | Дублирование дескриптора (handle) объекта | |
| Запуск/завершение процессов | Непрямой доступ к объекту | |
| Изменения в политике безопасности | Субъекту предоставлена новая привилегия | |
| Изменения в политике безопасности | У субъекта отнята привилегия | |
| Изменения в политике безопасности | Установлены доверительные отношения с другим доменом | |
| Изменения в политике безопасности | Доверительные отношения с другим доменом прекращены | |
| Изменения в политике безопасности | Изменена политика аудита | |
| Изменения в списке пользователей2 | Создана учетная запись нового пользователя | |
| Изменения в списке пользователей | Изменен тип учетной записи | |
| Изменения в списке пользователей | С учетной записи пользователя снята блокировка | |
| Изменения в списке пользователей | Неудачная попытка изменить пароль пользователя | |
| Изменения в списке пользователей | Удачная попытка изменить пароль пользователя | |
| Изменения в списке пользователей | Учетная запись пользователя заблокирована |
Окончание табл. 4.8
| Идентификатор | Категория | Описание |
| Изменения в списке пользователей | Учетная запись пользователя удалена | |
| Изменения в списке пользователей | Создана новая глобальная группа | |
| Изменения в списке пользователей | Пользователь добавлен в глобальную группу | |
| Изменения в списке пользователей | Пользователь удален из глобальной группы | |
| Изменения в списке пользователей | Глобальная группа удалена | |
| Изменения в списке пользователей | Создана новая локальная группа | |
| Изменения в списке пользователей | Пользователь добавлен в локальную группу | |
| Изменения в списке пользователей | Пользователь удален из локальной группы | |
| Изменения в списке пользователей | Локальная группа удалена | |
| Изменения в списке пользователей | Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой группе | |
| Изменения в списке пользователей | Произведены изменения в списке пользователей, не связанные с редактированием учетных записей | |
| Изменения в списке пользователей | Произведены изменения в учетной записи глобальной группы, не связанные с изменением членства пользователей в этой группе | |
| Изменения в списке пользователей | Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах |
5. УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ ОТЧЕТА.
Отчет должен содержать:
- название работы;
- цель работы;
- порядок действий по выполнению лабораторной работы;
- выводы по результатам проделанной работы.
6. КОНТРОЛЬНЫЕ ВОПРОСЫ ПО ВЫПОЛНЕННОЙ РАБОТЕ.
1 Какие три журнала Windows XP Professional можно просматривать средствами утилиты просмотра событий? Для чего предназначен каждый из них?
2 Как просмотреть журнал безопасности удаленного компьютера?
3 Какие два способа поиска конкретных событий есть в утилите просмотра событий? Что позволяет делать каждая из команд?
4 Размер любого из журналов может изменяться от_____кбайт до______Гбайт, а по умолчанию он равен________кбайт.
- Что происходит при переполнении журнала, если для него выбран параметр Не затирать события (очистка журнала вручную) (Do Not Overwrite Events)?
