Hændelsesloggen er en standardmåde i Microsoft Windows for applikationer og operativsystemet til at registrere og centralt gemme information om vigtige software- og hardwarehændelser. Hændelseslogtjenesten gemmer hændelser fra forskellige kilder i en enkelt hændelseslog, hændelsesfremviseren giver brugeren mulighed for at se hændelsesloggen, API'en tillader applikationer at skrive information til loggen og se eksisterende poster.
Hændelseslogposter gemmes i registreringsdatabasenøglen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLogDenne nøgle indeholder undernøgler kaldet logfiler. Som standard er der:
Det er muligt at oprette yderligere logfiler. Der oprettes en separat undernøgle for hver hændelseskilde i loggen. Hændelser fra hver kilde kan inkluderes i kategorier defineret separat for hver kilde. Hændelser skal tilhøre en af de fem foruddefinerede typer.
| Type | Beskrivelse |
|---|---|
| Information | Begivenheder indikerer sjældne og vigtige vellykkede operationer. |
| Advarsel | Hændelser indikerer problemer, der ikke kræver øjeblikkelig opmærksomhed, men som kan føre til fejl i fremtiden. Et eksempel på denne form for begivenhed er udtømning af ressourcer. |
| Fejl | Hændelser indikerer betydelige problemer, som normalt resulterer i tab af funktionalitet eller data. Et eksempel kunne være en tjenestes manglende evne til at starte ved opstart. |
| Vellykket revision | Sikkerhedshændelser, der opstår, når reviderede ressourcer tilgås korrekt. Et eksempel kunne være et vellykket login. |
| Mislykket revision | Sikkerhedshændelser, der opstår, når adgang til reviderede ressourcer mislykkes. Et eksempel ville være at prøve at åbne en fil uden de rigtige tilladelser. |
En hændelsespost inkluderer: et hændelses-id, en hændelsestype, en hændelseskategori, en række strenge og yderligere hændelsesspecifikke binære data. Hver hændelseskilde skal registrere sin egen meddelelsesfil, som gemmer beskrivelsesstrenge for meddelelsesidentifikatorer, kategorier og parametre. Beskrivelsesstrengen kan indeholde steder til at indsætte strenge fra det array, der er angivet ved optagelse af hændelsen, for eksempel:
Kan ikke åbne %1, fejl %2De yderligere data fortolkes ikke af Event Viewer på nogen måde og vises i hexadecimal- og tekstformat.
De vigtigste funktioner i arbejdet med begivenheder:
Administratorer kan se og rydde loggen, det er ikke muligt at adskille læse- og ryddetilladelser. Derudover kan administratoren bruge det specielle Winzapper-værktøj til at fjerne poster om specifikke hændelser fra loggen. Af denne grund, hvis administratorkontoen er blevet hacket, bliver historikken for hændelser indeholdt i hændelsesloggen upålidelig. Du kan imødegå dette ved at oprette en ekstern logserver, som kun kan tilgås via konsollen.
Når loggen når den maksimalt tilladte størrelse, kan den enten overskrive gamle hændelser eller stoppe optagelsen. Dette gør det modtageligt for angreb, hvor angriberen forsøger at fylde loggen op ved at generere et stort antal nye hændelser. Delvist imod dette kan det hjælpe at øge den maksimale logstørrelse. Der skal således udløses flere hændelser for at fylde loggen. Du kan instruere loggen i ikke at overskrive gamle hændelser, men dette kan forårsage et nedbrud.
En anden måde at angribe hændelsesloggen på er at logge på med en administratorkonto og ændre revisionspolitikken, nemlig at stoppe med at registrere uautoriseret aktivitet i loggen. Afhængigt af indstillingerne for revisionspolitikken kan dens ændring blive logget. Denne hændelsespost kan ryddes ved hjælp af Winzapper. Fra nu af vil aktiviteten ikke blive registreret i hændelsesloggen.
Selvfølgelig behøver ikke alle angreb adgang til loggen. Men ved at vide, hvordan hændelsesloggen fungerer, kan du tage forholdsregler for at undgå registrering. For eksempel kan en bruger, der ønsker at logge ind med en kollegas konto på et firmanetværk, vente, indtil de diskret kan bruge computeren. Så bruger han hardwaren til at gætte adgangskoden og registrerer sig i systemet. Brugerkontonavnet videregives derefter til Terminal Services med et Wi-Fi- hotspot , hvis IP-adresse ikke kan spores tilbage til en ubuden gæst.
Efter at loggen er ryddet gennem Event Viewer, oprettes der straks én post i den nyligt ryddede log, og noterer tidspunktet for rensningen og den administrerende administrator. Disse oplysninger kan være et udgangspunkt i efterforskningen af mistænkelige aktiviteter.
Ud over Windows- hændelsesloggen kan administratorer også tjekke Windows Firewall- sikkerhedsloggen .