Windows Event Viewer (Просмотр событий) — это ключевой инструмент для любого системного администратора и специалиста по безопасности. Он является цифровым судмедэкспертом операционной системы, записывая каждое значимое действие. Правильный анализ журналов позволяет выявить системные сбои, а главное — обнаружить следы взлома (интрузии), попытки несанкционированного доступа и ошибки входа, которые могут сигнализировать о брутфорс-атаках. В этой статье мы рассмотрим, какие именно журналы и идентификаторы событий (Event ID) необходимо отслеживать для обеспечения безопасности.
Введение в Event Viewer и ключевые журналы
Event Logs (Журналы событий) — это централизованное хранилище информации о работе системы, приложений и безопасности. Для поиска следов интрузии нам наиболее важен журнал “Безопасность”.
– Запуск Event Viewer: Нажмите Win + R и введите команду eventvwr.msc.
– Расположение: В дереве консоли перейдите к разделу Журналы Windows.

Ключевые журналы для аудита безопасности
1. Безопасность (Security): Содержит критически важные события, связанные с аутентификацией, доступом к объектам, изменениями в правах пользователей и политиках аудита. Это основной журнал для поиска следов взлома.
2. Система (System): Содержит события, связанные с драйверами, службами Windows, изменениями системного времени и запуском/остановкой ОС. Полезен для обнаружения изменений конфигурации.
3. Приложения (Application): События, регистрируемые программами. Может содержать записи от антивирусного ПО о детектировании вредоносов.
Важно: Для записи многих событий безопасности (особенно успешного доступа к объектам и процессам) необходимо предварительно настроить политику аудита в gpedit.msc (или GPO для домена).

Анализ событий входа/выхода (Logon/Logoff)
Анализ аутентификации — это первый шаг к обнаружению попыток подбора пароля (брутфорс) или использования скомпрометированных учетных данных. Все эти события находятся в журнале “Безопасность”.
Ключевые Event ID для входа/выхода
– 4624: Успешный вход в учетную запись (An account was successfully logged on).
– Поиск следов взлома: Отслеживайте успешные входы в нерабочее время, входы с необычных IP-адресов или успешный вход после серии неудачных попыток (брутфорс).
– Полезные поля:
– Тип входа (Logon Type): Определяет, как пользователь вошел (например, 2 – интерактивный, 3 – сетевой, 10 – удаленный рабочий стол (RDP)).
– Исходная сетевая служба (Source Network Address): IP-адрес, с которого происходил вход.

– 4625: Неудачный вход в учетную запись (An account failed to log on).
– Поиск следов взлома: Многократное повторение Event ID 4625 с одним и тем же именем учетной записи (Target User Name) или с одного и того же Исходного сетевого адреса (Source Network Address) является прямым признаком атаки брутфорс или DoS-атаки на аутентификацию.
– Полезные поля:
– Имя учетной записи (Account Name): Учетная запись, которую пытались использовать.
– Причина сбоя (Failure Reason): Код ошибки (например, неверный пароль).

– 4648: Попытка входа с явными учетными данными (A logon was attempted using explicit credentials).
– Значение: Происходит, когда пользователь уже вошел в систему, но запускает программу, используя другие явные учетные данные (например, команда `runas` или использование “Запуск от имени другого пользователя”). Это может быть признаком того, что злоумышленник пытается повысить привилегии.

– 4740: Учетная запись пользователя заблокирована (A user account was locked out).
– Поиск следов взлома: Это следствие множественных Event ID 4625. Неожиданная блокировка учетной записи (особенно администраторской) указывает на то, что кто-то активно подбирает пароль.

Обнаружение изменения конфигурации и повышения привилегий
Успешный взлом редко ограничивается только входом в систему. Злоумышленники стремятся создать “черный ход”, изменить настройки безопасности и повысить свои права.
Ключевые Event ID для аудита изменений
– 4672: Новым учетным данным назначены особые привилегии (Special privileges assigned to new logon).
– Значение: Генерируется при каждом успешном входе пользователя, имеющего административные права (например, член группы “Администраторы”). Это помогает отслеживать, когда и где административные учетные записи были использованы.

– 4697: Служба установлена в системе (A service was installed in the system).
– Поиск следов взлома: Создание новых служб — распространенный метод закрепления (persistence) вредоносного ПО. Вредоносная программа может установить себя как легитимную службу для автоматического запуска при старте системы.

– 4719: Изменена политика аудита системы (System audit policy was changed).
– Критичность: Злоумышленники часто пытаются отключить аудит, чтобы скрыть свои действия. Event ID 4719 — это критический сигнал тревоги. Несанкционированное изменение политики аудита требует немедленного расследования.

– 1102: Журнал аудита очищен (The audit log was cleared).
– Критичность: Самый серьезный признак того, что злоумышленник пытался скрыть свои следы. Это событие регистрируется, даже если злоумышленник очистил журнал, и оно не может быть стерто самим действием очистки.

– 4688: Запущен новый процесс (A new process has been created).
– Значение: Если включен аудит создания процессов, этот ID регистрирует запуск каждого исполняемого файла, включая сведения о родительском процессе (процессе, который его запустил). Это необходимо для обнаружения вредоносных процессов, запущенных из необычных мест (например, `C:\Users\…\AppData`) или замаскированных под системные.

Методика анализа логов: Фильтрация и кастомные представления
Просматривать тысячи записей вручную неэффективно. Используйте встроенные функции Event Viewer.
Шаг 1: Активация аудита (Для доменов AD)
Перед началом аудита убедитесь, что в GPO (или в локальной политике безопасности) включены необходимые параметры аудита для Успешного и Неудачного входа, а также для Создания процессов.

Шаг 2: Фильтрация журнала безопасности (Скриншот 1: Фильтрация журнала безопасности по Event ID 4625)
– Откройте журнал “Безопасность”.

– В правой панели выберите “Фильтровать текущий журнал” (Filter Current Log).

– В поле “Коды событий” (Event IDs) введите ключевые номера через запятую, например: 4624, 4625, 4697, 1102, 4688.
– Укажите временной диапазон (например, “Последние 24 часа”).


Шаг 3: Создание пользовательских представлений
Для постоянного мониторинга наиболее эффективным является создание “Настраиваемого представления” (Custom View).
– В правой панели Event Viewer выберите “Создать настраиваемое представление” (Create Custom View).

– Укажите те же Event ID, которые важны для безопасности (4625, 4672, 1102 и т.д.).

– Сохраните представление, назвав его, например, “Security_Intrusion_Watch”. Это представление будет автоматически собирать критические события из всех журналов, экономя ваше время.


Анализ логов Event Viewer — это фундаментальный навык в кибербезопасности. Умение находить Event ID 4625 (неудачный вход) с аномальной частотой или критические Event ID 1102 (очистка журнала) и 4719 (изменение политики) позволяет найти следы взлома и быстро реагировать на угрозы. Регулярная проверка журнала “Безопасность” и использование пользовательских представлений являются лучшей защитой от скрытых попыток кражи учетных данных.