Журнал событий Windows

Агент OS использует файл .conf файл для отслеживания событий в журнале событий Windows.

Агент операционной системы продолжает использовать опцию файла конфигурации WINEVENTLOGS (.conf), чтобы отслеживать события в журнале событий Windows. Агент отслеживает список журналов событий, перечисленных через запятую, как показано в следующем примере:

WINEVENTLOGS=System,Security,Application

Агент операционной системы продолжает использовать также параметр WINEVENTLOGS=All. Параметр All относится к следующим стандартным журналам событий: Security (Защита), Application (Прикладная программа), System (Система), Directory (Каталог), Domain Name System (DNS) и File Replication Service (FRS), которые поставляются с версиями системы до Windows 2008. Однако все журналы событий в системе не проверяются.

Тег файла конфигурации UseNewEventLogAPI позволяет журналу событий (Windows Event Log 2008 или новее) обращаться к любому из новых журналов, добавленных Microsoft, и к любому из журналов событий Windows, созданных другими прикладными программами или пользователем. Новые журналы перечисляются под ключевым словом WINEVENTLOGS.

В следующем примере для тега UseNewEventLogAPI задано значение y.

UseNewEventLogAPI=y
WINEVENTLOGS=Microsoft-Windows-Hyper-V-Worker-Admin

В этом примере Microsoft-Windows-Hyper-V/Admin отслеживается в системеWindows с ролью Hyper-V.

В журнале событий Windows у каждого события есть следующие поля в указанном порядке:

  • Дата в формате: месяц, день, время и год.
  • Категория события как целое число
  • Уровень события
  • ID безопасности Windows. Все пробелы в ID защиты Windows заменяются на символы подчеркивания, если в файле конфигурации (.conf) задано SpaceReplacement=TRUE.
    Прим.: SpaceReplacement=TRUE используется по умолчанию, если для UseNewEventLogAPI задано значение y в файле (.conf) (это указывает, что вы используете журнал событий).
  • Источник Windows. Все пробелы в источнике Windows заменяются на символы подчеркивания, если в файле конфигурации (.conf) задано SpaceReplacement=TRUE.
  • Ключевые слова журнала событий Windows. Все пробелы в ключевых словах журнала событий Windows заменяются на символы подчеркивания, если в файле конфигурации (.conf) задано SpaceReplacement=TRUE.
    Прим.: Описанное здесь ключевое слово - новое по сравнению с журналом событий в версии Windows 2008. Его не было в предшествующих журналах событий, то есть наличие этого ключевого слова делает невозможным продолжение непосредственного использование операторов старого формата журнала событий. Они должны быть изменены, чтобы учесть это дополнительное поле.
  • Идентификатор событий Windows.
  • Текст сообщения

Например, когда пользователь с административными полномочиями входит в систему Windows 2008, в журнале защиты генерируется событие, указывающее привилегии, которые назначены сеансу нового пользователя:

Mar 22 13:58:35 2011 1 Information N/A Microsoft-Windows-
Security-Auditing Audit_Success 4672 Special privileges assigned to new logon 
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege
Чтобы захватить все события, созданные источником событий Microsoft-Windows-Security-Auditing, нужно записать оператор в следующем формате: 
REGEX BaseAuditEvent
^([A-Z][a-z]{2} [0-9]{1,2} [0-9]{1,2}:[0-9]{2}:[0-9]{2} [0-9]
{4}) [0-9] (\S+) (\S+) Microsoft-Windows-Security-Auditing (\S+)
([0-9]+) (.*)
timestamp $1
severity $2
login $3
eventsource "Microsoft-Windows-Security-Auditing"
eventkeywords $4
eventid $5
msg     $6
END
Для показанного примера события в следующем примере указываются значения, назначенные слотам: 
timestamp=Mar 22 13:58:35 2011
severity=Information
login=N/A
eventsource=Microsoft-Windows-Security-Auditing
eventid=4672
msg="Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege

Так как трудно точно предвидеть, как именно будут выглядеть эти события, полезен применять для записи ваших регулярных выражений подход, при котором фактические события захватываются в файл. Затем этот файл можно проверить, выбрать события для захвата агентом и записать регулярные выражения, соответствующие этим событиям. Чтобы захватить все события из вашего журнала событий Windows, используйте следующие шаги:

  1. Создайте файл в формате, содержащем только один паттерн, который ничему не соответствует, как в следующем примере: 
    REGEX NoMatch
This doesn't match anything
END
  2. Добавьте следующий параметр в файл конфигурации (.conf): 
    UnmatchLog=C:/temp/evlog.unmatch
  3. Запустите агент и захватите несколько образцов событий.