Работа со стандартными журналами Windows с помощью команды wevtutil.exe
Работать со стандартными журналами Windows можно и с помощью новой программы командой строки операционной системы Windows Vista. Чтобы просмотреть полный перечень возможностей данной команды и их описание, нужно воспользоваться командой wevtutil /?. Мы же на страницах данной книги рассмотрим только основные команды данной программы.
• Wevtutil el – отображает список стандартных журналов операционной системы локального компьютера.
• Wevtutil el /г:<компьютер> /и:<пользователь> /р:<пароль>– выводит список стандартных журналов операционной системы удаленного компьютера, используя для подключения к нему указанное имя пользователя и пароль. Можно также использовать параметр /а: для определения способа аутентификации пользователя на удаленном компьютере. Можно указать следующие значения данного параметра: Default, Negotiate, Kerberos или NTLM.
• Wevtutil gl <имя стандартного журнала> – отображает настройки стандартного журнала локального или удаленного компьютера. Эта команда выводит следующие настройки журналов: имя, включен или отключен в данный момент, тип, имя создателя, права доступа, путь к файлу, максимальный размер файла, выполняется ли его автоматическая архивация и т. д.
• Wevtutil si <имя стандартного журнала> <изменяемый параметр журнала> – позволяет изменить параметры работы определенного журнала. Они изменяются с помощью следующих установок.
– /e:
– /i:<определяет способ изоляции> – позволяет изменить способ изоляции, определяющий сессию, с которой данный журнал разделяет работу. Например, значение данного параметра может быть равно system или application.
– /lfn:<новое имя журнала> – изменяет имя выбранного журнала.
– /rt:
– /ab:
– /ms: <максимальный размер> – определяет максимальный размер файла журнала в байтах. Минимальное значение данного параметра может быть равно 104 857 6.
– /l: <уровень> – указывает уровень фильтрации содержимого создаваемого файла журнала.
– /к:<ключевые слова> – определяет ключевые слова для фильтрации содержимого журнала.
– /са: – справа доступа> – указывает права доступа на регистрацию событий в журнале (в формате SDDL).
– /с: <путь к файлу XML> – определяет путь к файлу, содержащему новые настройки журнала. Синтаксис данного файла приведен в описании программы, и его можно отобразить, введя команду wevtutil /si /?.
• Wevtutil ер – отображает список провайдеров, которые могут заносить сведения о своей работе в стандартные журналы операционной системы.
• Wevtutil gp <имя провайдера> – выводит основные сведения о данном провайдере. К списку основных сведений относятся: имя и CLSID-номер провайдера, путь к библиотеке провайдера, ссылка на ресурс сайта Microsoft, описывающий назначение данного провайдера, название журнала, в который провайдер записывает свои сведения, идентификатор записей и т. д.
• Wevtutil epl <имя стандартного журнала> <путь к файлу с расширением ELF> – экспортирует содержимое стандартного журнала локального или удаленного компьютера в ELF-файл.
• Wevtutil cl <имя стандартного журнала> – очищает содержимое указанного стандартного журнала.
Программа eventcreate.exeРасположение: %systemroot%\system32\eventcreate.ехе.
Никуда не исчезла и стандартная программа командной строки eventcreate.ехе, с помощью которой можно создавать в стандартных журналах операционной системы свои записи. Поскольку эта программа не является чем-то новым, мы просто о ней упомянем.
Основной синтаксис этой программы следующий: eventcreate /t <тип события> /id – ^идентификатор события> /1 <название журнала> /d <описание>. Здесь:
• тип события может принимать следующие стандартные значения: ERROR, WARNING, INFORMATION И SUCCESS;
• идентификатор должен быть числом от 1 до 1000;
• название журнала может принимать только следующие значения: Application, System или название любого другого журнала из раздела Applications and Services Logs оснастки Просмотр событий.
Управление групповой политикойCLSID-номер оснастки: {E12BBB5D-D59D-4E61-947A-301D25AE8C23}.
Библиотека: GPOAdmin.dll.
Используется в стандартных консолях: gpmc.msc.
Оснастка может использоваться только на компьютерах, подключенных к домену Active Directory. В этом случае она представляет собой более функциональную оснастку, чем стандартная оснастка Редактор объектов групповой политики.
Оснастка Управление групповой политикой состоит из следующих оснасток и утилит Active Directory: Active Directory Users and Computers, Active Directory Sites and Services и Resultant Set of Policy. С ее помощью удобно управлять групповыми политиками в каждом лесе корпоративной среды. Для каждого леса отображаются следующие подразделы данной оснастки:
• Domains – содержит информацию обо всех доменах, из которых состоит данный лес;
• Sites – хранит информацию обо всех узлах, из которых состоит данный лес;
• Group Policy Modeling – позволяет выполнить моделирование групповой политики для определенного компьютера или пользователя на основе только что измененных групповых политик (которые еще не вступили в силу);
• Group Policy Results – дает возможность выполнить моделирование групповой политики для определенного компьютера или пользователя на основе уже применяющихся политик.
В контексте этой книги мы не будем подробно рассматривать данную оснастку.
Редактор объектов групповой политикиCLSID-номер оснастки: {8FC0B734-A0E1-11D1-A7D3-0 0 0 0F87571E3}.
Библиотека: GPEdit.dll.
Используется в стандартных консолях: gpedit.msc.
Эта оснастка представляет собой основной способ редактирования групповых политик, дающих возможность дополнительной настройки операционной системы и ее компонентов с помощью специальных параметров реестра , изменять которые могут только администраторы. Соответственно, запустить данную оснастку можно только с правами администратора.
При загрузке оснастки перед вами отобразится мастер. С его помощью можно определить компьютер, параметры групповой политики которого вы будете изменять. Но это еще не все возможности изменения – если вы нажмете кнопку Обзор, то сможете изменить не только компьютер, но и пользователя, на которого будут распространяться изменяемые вами групповые политики (рис. 5.15). При этом заметьте, что можно выбирать не только конкретного пользователя, но и пользователей группы Администраторы, а также пользователей всех групп, не являющихся административными. Однако учтите, что если вы выберете пользователя, то будут загружены групповые политики, распространяемые на него, но не будут загружены групповые политики, распространяемые на весь компьютер.
