Как просмотреть действия пользователя на Windows ПК

Сисадминам, который занимаются Active Directory для мониторинга событий и ошибок, связанных с аутентификацией. Для мониторинга сначала надо включить соответствующие аудиты в локальных или доменных политиках.

Введение

В своей статье я буду считать, что вы установили и настроили elk stack по моему материалу. Если это не так, то сами подредактируйте представленные конфиги под свои реалии. По большому счету, все самое основное по сбору логов windows серверов уже дано в указанной статье. Как минимум, там рассказано, как начать собирать логи с помощью winlogbeat. Дальше нам нужно их обработать и нарисовать функциональный дашборд для быстрого анализа поступающей информации.

Для того, чтобы оценить представленные мной графики и дашборды, рекомендую собирать логи сразу с нескольких серверов. Так можно будет оценить представленную информацию на практике. С одним сервером не так наглядно получится.

С визуализацией данных из windows журналов проблем нет никаких. Winlogbeat из коробки умеет парсить логи и добавлять все необходимые метаданные. Со стороны logstash не нужны никакие фильтры. Принимаем все данные как есть с winlogbeat.

Ограничение размера логов агентов на сервере DeviceLock

При работе с логом, особенно не очень большого размера (до 2-3 млн записей) и на мощном сервере (на примере сервера с 22 Гбайт оперативной памяти), не возникает никаких затруднений. Пролистывание страниц, сортировка по полям, выдача результатов фильтрации происходят мгновенно. При работе с логом в 10-15 млн записей на менее мощном сервере (первые гигабайты оперативной памяти, не такие быстрые жесткие диски) время ожидания при пролистывании страниц и применении фильтров составляет минуты, а сортировка по полю вызовет, скорее всего, зависание консоли. В связи с этим, если нет возможности ограничить поступающий поток логов (например, отключить логирование чтения с устройств и оставить только логирование записи) и развернуть мощный сервер, остается три пути:

  • настроить автоматическое удаление старых записей лога на сервере по достижении определенного количества записей в логе. Недостаток метода — вы не сможете хранить записи о действиях пользователей годами, что бывает полезно и даже необходимо по требованию регуляторов в крупной компании, особенно в финансовом секторе;
  • регулярно обрезать старую (например, старше месяца) часть таблицы [DeviceLock DB].[dbo].[DLAuditLog], сохраняя ее копию в отдельную базу данных;
  • изредка обрезать старую часть таблицы и вообще не работать с логом через интерфейс консоли DeviceLock, а выполнять все те же операции — фильтрация логов по содержимому полей, вывод записей в порядке возрастания/убывания значений в полях — командами transact-SQL, подключаясь к SQL-серверу через SQL Management Studio.
Читайте также:  Использование утилиты Управление дисками в Windows 8.1

Как открыть и использовать журнал событий Windows: информация для пользователей

Быстрый запуск его осуществляется путем добавления оснастки на консоль. Он представляет собой историю уведомлений, отчетов об ошибках, предупреждений, генерируемых различными программами. Эти данные можно использовать для оптимизации работы ОС.

Посмотреть последние действия на компьютере получится с помощью записей о неполадках. Он не может быть пустым, так как сообщения об ошибках возникают даже на нормально функционирующем устройстве. Есть два способа запустить данную оснастку – из Панели управления Windows и с помощью командной строки. Чтобы открыть журнал событий windows 7, не запуская командную строку, повторите алгоритм:

  1. Пройдите по пути Пуск à Панель управления à Система и обслуживание à Администрирование;
  2. В открывшемся окне найдите Просмотр событий;
  3. Сделайте двойной клик;

Второй способ того, как посмотреть журнал посещений на компьютере – запустить его с помощью командной строки. Способ подходить для любых версий ОС от ХР и выше. Запустите командную строку, зажав Win+R и введя в открывшемся окне cmd. Еще один способ – пройти по пути Пуск à Все программы à Стандартные à Командная строка. В открывшееся поля командной строки введите комбинацию eventvwr.

Есть способ найти журнал посещений на компьютере вручную. Это файл формата .msc с именем Eventvwr. Его можно найти в поисковике ОС или в папке Sustem32. Папка расположена на локальном диске С, в директории Windows/ProgramFiles/%SYSTEMROOT%. Открывается файл двойным щелчком с помощью стандартных средств Windows.

Системный журнал windows 7 позволяет установить причину неполадки при самопроизвольной перезагрузке устройства или появлении «экрана смерти». Программа позволит увидеть файл, ответственный за сбой. При возникновении неполадки необходимо запомнить время, в которое она произошла, а затем просмотреть файл и узнать, какой процесс дал сбой в этот момент. Самые серьезные проблемы отмечены как критические.

Читайте также:  Способы восстановления реестра windows 10: описываем со всех сторон

Кроме сообщений об ошибках, журнал событий windows xp записывает и другую важную информацию. Это полное время загрузки системы и др. Но данные файла необходимо правильно «читать», тогда его просмотр принесет пользу. В левом блоке расположено дерево разделов, где Вы можете найти необходимый элемент оснастки.

Корзина

От активности в сети, перейдём к тому, как посмотреть действия пользователя в самой Windows. Первое, с чего рекомендуем начать – это проверить Корзину. Ведь все удаляемые на компьютере файлы в первую очередь попадают именно туда.

Чтобы понять удалялись ли на компьютере какие-либо файлы в ваше отсутствие, откройте корзину и выберите структуру файлов в виде таблицы.

Корзина

После этого отсортируйте файлы по дате удаления, кликнув на названии столбика «Дата удаления». В результате легко можно увидеть последние удалённые файлы.

Перейти к просмотру

Анализ журнальных файлов

Журнальные файлы, создаваемые демоном auditd в каталоге /var/log/audit, не предназначены для чтения человеком, но хорошо подходят для анализа с помощью специальных утилит, устанавливаемых вместе с самим демоном. Самая важная из них – утилита aureport, генерирующая отчеты из лог-файлов. Вызвав ее без аргументов, мы узнаем общую статистику использования системы, включая такие параметры, как количество входов и выходов из системы, открытых терминалов, системных вызовов и т.д. Эта информация малоинтересна, поэтому лучше запросить более детальный отчет. Например, запустив команду с флагом ‘-f’, мы получим список файлов, к которым происходил доступ:

$ sudo aureport -f

Скорее всего вывод будет слишком длинным, но его можно сократить с помощью запроса информации только за определенный период времени (аргумент ‘—end’ не обязателен):

$ sudo aureport -f —start 08/20/10 12:00 —end 08/20/10 13:00

Читайте также:  Как выполнить откат с Windows 10 обратно на Windows 7 / 8!

Кроме числового значения времени можно использовать следующие специальные сокращения: now (сейчас), recent (десять минут назад), today (начиная с полуночи), yesterday (вчерашние сутки), this-week (неделя), this-month (месяц) или this-year (год). Вывод команды разбит на несколько столбцов, которые имеют следующие значения (слева направо):

  1. Просто числовой индекс;
  2. Дата возникновения события;
  3. Время возникновения события;
  4. Имя файла;
  5. Номер системного вызова (чтобы увидеть его имя, используй флаг ‘-i’);
  6. Успешность системного вызова (yes или no);
  7. Имя процесса, вызвавшего событие;
  8. Audit UID (AUID). О нем читай ниже;
  9. Номер события.

Вывод этой команды также можно существенно сократить, если указать флаг ‘—summary’, который заставляет aureport выводить не все случаи доступа к файлом, а только их общее количество по отношению к каждому из файлов:

$ sudo aureport -f -i —start recent —summary

Вывод команды будет разбит на две колонки, первая из которых отражает количество попыток доступа к файлу (успешных или нет), а вторая – его имя. Просматривая суммарный отчет использования файлов и заметив подозрительную попытку доступа к одному из системных/скрытых/личных файлов, можно вновь вызвать aureport, чтобы найти процесс, который произвел эту попытку:

$ sudo aureport -f -i —start today | grep /etc/passwd

Получив список всех попыток доступа и номера событий, каждое из них можно проанализировать индивидуально с помощью утилиты ausearch:

$ sudo auserch -a номер_события

Также ausearch можно использовать для поиска событий по именам системных вызовов:

$ sudo ausearch -sc ptrace -i

Идентификаторам пользователей:

$ sudo ausearch -ui 2010

Именам исполняемых файлов:

$ sudo ausearch -x /usr/bin/nmap

Имени терминала:

$ sudo ausearch -tm pts/0

Именам демонов:

$ sudo ausearch -tm cron

Или ключам поиска:

$ sudo auserch -k etc_access

Вывод ausearch также может быть сокращен с помощью использования временных промежутков, наподобие тех, что мы использовали при вызове aureport. Сам aureport позволяет генерировать отчеты не только по использованию файлов, но и многих других типов событий, как, например, системные вызовы (флаг ‘-s’), попытки аутентификации (флаг ‘-au’) , успешные логины (флаг ‘-l’), модификации аккаунта (флаг ‘-m’) и многих других (полный список смотри в man-странице). Отчеты можно получать только для событий, завершившихся неудачно (флаг ‘—failed’).