Просмотр событий. 
Управление системой аудита в ОС Windows

Программа «Просмотр событий» используется для просмотра событий, записанных в журналы приложений, безопасности и системы.

Чтобы начать работу с программой «Просмотр событий» выполните следующие действия.

Запустите программу Просмотр событий.

Откройте справку по программе «Просмотр событий».

Чтобы сохранить журнал в файле Запустите программу Просмотр событий.

В дереве консоли щелкните правой кнопкой мыши журнал, который требуется сохранить в файле, и выберите команду Сохранить файл журнала как.

В поле Имя файла введите имя файла, в котором будет сохранен журнал.

В поле со списком Тип файла выберите формат файла и нажмите кнопку Сохранить.

Примечания Для выполнения этой процедуры необходимо входить в группу Администраторы или Операторы архива на конечном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы Администраторы домена. При этом по соображениям безопасности рекомендуется использовать команду Запуск от имени.

Чтобы открыть окно «Просмотр событий», нажмите кнопку Пуск и выберите команды Настройка и Панель управления. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Просмотр событий.

Журнал событий, сохраненный в основном формате файла журнала (.evt), может впоследствии быть изучен в окне просмотра событий. Журнал, сохраненный в текстовом формате или формате с разделением записей запятыми (*.txt и *.csv, соответственно), может быть открыт в других программах, например в текстовых редакторах или в программах обработки электронных таблиц, но не в окне просмотра событий.

Журналы событий сохраняются в основном формате файла журнала только на компьютере, где возникают события; например, при использовании окна просмотра событий для просмотра журналов событий на удаленном компьютере.

Для сохранения локального журнала событий в основном формате файла журнала на другом компьютере введите имя_удаленного_компьютераресурс в поле Имя файла, а затем введите путь к сохраняемому файлу и его имя.

При сохранении файла журнала сохраняется весь журнал, вне зависимости от установленного фильтра. При сохранении журнала порядок сортировки будет утерян. Однако журнал, сохраненный в файле, можно опять фильтровать и сортировать, открывая его в окне «Просмотр событий».

Сохранение журнала в файле не влияет на содержимое текущего журнала событий.

Чтобы уничтожить файл журнала, следует удалить файл в окне проводника Windows.

Задание В ОС Windows настроить и применить политику аудита, проверить аудит входа в систему: разрешенным пользователем (учетная запись которого существует); разрешенным пользователем (учетная запись которого существует) с ошибочным паролем и неразрешенным пользователем (учетной записи которого в системе не создано). Прокомментировать записи аудита в журнале безопасности.

Настроить аудит доступа к файлу «*.*» для пользователя «User1», (доступ которому разрешен) и для пользователя «User2», которому доступ к файлу запрещен. Прокомментировать записи аудита в журнале безопасности.