Назад | Перейти на главную страницу

Как узнать, кто удалил журналы средства просмотра событий

В Windows Server 2003 кто-то удалил журналы безопасности и приложений.

Я хотел бы знать, когда были удалены логи и, если возможно, кто этот преступник. :)

В Windows 2003, когда журнал безопасности очищается, в него автоматически записывается новое событие, содержащее информацию, которую вы ищете.

Пример:

Event ID: 517
Source: Security

The audit log was cleared 
    Primary User Name:  SYSTEM
    Primary Domain: NT AUTHORITY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   User's Name
    Client Domain:  CompanyDomain
    Client Logon ID:    (0x0,0x493DDA90)

Дополнительная информация от Microsoft

Эта запись события указывает на то, что журнал аудита очищен. Это событие всегда записывается, независимо от политики аудита. Он записывается, даже если аудит отключен.

Кроме того, вам понадобится объект политики аудита уже установлен и настроен, чтобы иметь возможность иметь дополнительные журналы действий, предпринятых пользователями системы.

Очистка журнала вносит запись в файл журнала. Ниже приведен пример моего тестового сервера, он регистрирует имя пользователя, время и дату.

Log Name:      System
Source:        Microsoft-Windows-Eventlog
Date:          07/12/2015 14:52:05
Event ID:      104
Task Category: Log clear
Level:         Information
Keywords:      
User:          CONTOSO\admin
Computer:      ad.contoso.local
Description:
The System log file was cleared.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
    <EventID>104</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>104</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-12-07T14:52:05.515696000Z" />
    <EventRecordID>4270</EventRecordID>
    <Correlation />
    <Execution ProcessID="812" ThreadID="3612" />
    <Channel>System</Channel>
    <Computer>ad.contoso.local</Computer>
    <Security UserID="S-1-5-21-3235254930-1055063838-1000765035-500" />
  </System>
  <UserData>
    <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
      <SubjectUserName>admin</SubjectUserName>
      <SubjectDomainName>CONTOSO</SubjectDomainName>
      <Channel>System</Channel>
      <BackupPath>
      </BackupPath>
    </LogFileCleared>
  </UserData>
</Event>