Найти в Дзене
Игорь Бедеров
483 подписчика

Журналы событий Windows (Event Logs) — это черный ящик вашей системы

3
1 мин
Если вы хотите понять, кто, когда и зачем заходил в компьютер, запускал программы или менял права — без анализа Event ID не обойтись. Рассказываю о самых важных идентификаторах, которые помогут вам в расследовании инцидентов и мониторинге. Основные Event ID для контроля доступа: 4624 — Успешный вход в систему. Покажет имя пользователя, тип входа, исходный IP (для удалёнки) и время. 4625 — Неудачная попытка входа. Укажет, кто пытался зайти (имя пользователя), откуда и почему не получилось (неверный пароль, заблокированная учётная запись и т.д.). 4634 / 4647 — Выход из системы. В паре с событиями входа помогут восстановить полную хронологию активности пользователя. 4672 — Назначены особые привилегии. Возникает, когда учетная запись получает права администратора. Само по себе не криминал, но важно отслеживать, кому и зачем они выданы. Процессы и изменения в системе: 4688 — Создание процесса. Логирует запуск любой программы: браузера, системной утилиты, скрипта или командной строки.

Журналы событий Windows (Event Logs) — это черный ящик вашей системы. Если вы хотите понять, кто, когда и зачем заходил в компьютер, запускал программы или менял права — без анализа Event ID не обойтись. Рассказываю о самых важных идентификаторах, которые помогут вам в расследовании инцидентов и мониторинге.

Основные Event ID для контроля доступа:

4624 — Успешный вход в систему. Покажет имя пользователя, тип входа, исходный IP (для удалёнки) и время.

4625 — Неудачная попытка входа. Укажет, кто пытался зайти (имя пользователя), откуда и почему не получилось (неверный пароль, заблокированная учётная запись и т.д.).

4634 / 4647 — Выход из системы. В паре с событиями входа помогут восстановить полную хронологию активности пользователя.

4672 — Назначены особые привилегии. Возникает, когда учетная запись получает права администратора. Само по себе не криминал, но важно отслеживать, кому и зачем они выданы.

Процессы и изменения в системе:

4688 — Создание процесса. Логирует запуск любой программы: браузера, системной утилиты, скрипта или командной строки. Отличная точка для поиска вредоносной активности.

4720 / 4726 — Учётная запись создана / удалена. Позволяют проверить, легально ли появился новый пользователь или злоумышленник незаметно добавил себе «запасной» вход.

4732 / 4733 — Изменения в составе группы безопасности. Фиксируют, когда пользователя добавляют или удаляют из группы (например, из локальных администраторов). Золотая жила для обнаружения эскалации привилегий.

Планировщик задач и подчистка следов:

4698 — Создана запланированная задача. Законное использование: автоматизация, обновления, обслуживание. Но атакующие очень любят планировщик для закрепления в системе. Следите за новыми задачами.

1102 — Журнал безопасности очищен. Красный флаг! В обычной жизни почти не встречается. Если журнал стёрли — скорее всего, кто-то заметает следы. Требует немедленного внимания.

🔎 Как смотреть эти события в Windows 11:

Проще всего через встроенную утилиту «Просмотр событий» (Event Viewer):

Через меню Пуск: ПКМ по кнопке «Пуск» → «Просмотр событий»

Быстрый вызов: Нажмите Win + R, введите eventvwr.msc и нажмите Enter.

Где лежат файлы логов (.evtx): C:\Windows\System32\winevt\Logs

📱 Telegram | 🌐 ВК | 📲 MAX

-2
Гаджеты и электроника
5,73 млн интересуются