Metody Monitorowania Systemów Windows

System Windows jest obecnie najpopularniejszym systemem operacyjnym i nic nie wskazuje że w najbliższym czasie coś się zmieni. W linuxie możemy monitorować każdą rzecz jaką chcemy, natomiast w Windowsie jest nieco inaczej.

Mechanizm Monitoringu Zdarzeń Systemowych

Event Log jest usługą Windows odpowiedzialną za logowanie zdarzeń systemowych (w tym związanych z bezpieczeństwem) i aplikacyjnych. Rozszerzeniem dla EventLog  może być Sysmon, do analizy Sysmon View.  Uzupełnieniem monitorowania zdarzeń są niskopoziomowe narzędzia dla aplikacji jest niskopoziomy mechnizm śledzenia WPP software tracing dla driverów jest czarna skrzynka Inflight Trace Recorder (IFR) for logging traces która zaczytuje informacje ze sterowników.

  • EventLog
  • Sysmon
  • Sysmon View
  • Automatyzacja powiadamiania o zdarzeniach

Mechanizm Monitoringu Eventlog

Event Log jest usługą Windows odpowiedzialną za logowanie zdarzeń systemowych (w tym związanych z bezpieczeństwem) i aplikacyjnych.

Zdarzenia te można potem przeglądać programem Event Viewer (eventvwr.exe), Do sterowania poszczególnymi dziennikami służy program wevtutil.exe.

wyświetlić listę dzienników w bieżącym systemie:

wevtutil el

Każdy z dzienników można bardzo prosto wyczyścić:

wevtutil cl Security

Można też wyczyścić wszystkie dzienniki za jednym podejściem:

for /f “delims=” %%I in (‘wevtutil el’) do (wevtutil cl “%%I”)

Można wyłączyć logowanie zdarzeń do konkretnego dziennika:

wevtutil sl Security /e:false

W powershellu polecenie

Get-EventLog

Get-EventLog -List

Get-EventLog -LogName Security -Newest 5

Clear-EventLog

Można użyć narzędzia Phant0m który zabija wszystkie wątki Dziennika zdarzeń

Zdarzenia te można potem przeglądać programem Event Viewer (eventvwr.exe),

Przechodzimy na sekcję security zabezpieczenia i sprawdzamy
ostatni log klawiszem END

Dzięki tej operacji wiemy z ilu dni mamy logi i możemy
manewrować wielkością logu w zakładce

Domyślnie Najstarsze logi są nadpisywane ale można archiwizować dziennik po zapełnieniu. Jeżeli jest dużo eventów nie istotnych to można je wyłączyć raportowanie  żeby nie zaśmiecały nam logów. Racjonalną pojemnością ze względów wydajnościowych do zaczytywania logów jest parę tysięcy na sekundę. Lokalizacja eventlogów C:\Windows\System32\winevt\Logs

Security event log nie zbiera wszystkiego co by mogło nam zależeć jeżeli chcemy bardziej rozbudowanego narzędzia które zbiera więcej
informacji z pomocą przychodzi nam sysmon Microsoftu z pakietu Sysinternals.
Monitoruje wewnętrzne aktywności Windowsa, działa jako usługa systemowa i sterownik. Śledzi aktywność systemu plików, Rejestru, stosu sieciowego i działających aplikacji. Uruchamia się na wczesnym etapie rozruchu systemu, wychwytując praktycznie wszystkie detale.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *