1
Problem z dostępem do logów systemowych
Każdy, kto kiedykolwiek miał styczność z Windows NT, słyszał na pewno o aplikacji "Event Log Viewer", czy też "Podgląd
zdarzeń". O przydatności owego narzędzia dyskutować nie ma potrzeby. Jest to jedno z najważniejszych narzędzi każdego
administratora.
Istnieją w systemie trzy rodzaje dzienników:
- Aplikacji
Zapisywany w pliku %SYSTEMROOT%\System32\Config\AppEvent.evt
Umieszczane są tu wpisy aplikacji działających na danym komputerze,
- Systemu
Zapisywany w pliku %SYSTEMROOT%\System32\Config\SysEvent.evt
Umieszczane są tu wpisy usług systemowych działających na danym komputerze,
- Zabezpieczeń
Zapisywany w pliku %SYSTEMROOT%\System32\Config\SecEvent.evt
Umieszczane są tu wpisy dotyczące bezpieczeństwa. Logowane informacje zależą wyłącznie od konfiguracji systemu.
Czasami jednak zdarzyć się może, iż Event Log Viewer odmówi posłuszeństwa (komunikatem o zabronionym dostępie do logów).
Pierwsza myśl, jaka przychodzi do głowy: "problem z prawami dostępu" niekoniecznie musi być właściwa, a przynajmniej w
przypadku logów.
Istnieją dwa najczęściej występujące powody:
- banalny: rzeczywisty brak uprawnień,
- poważny: uszkodzone pliki z logami.
Nie wnikając w przyczyny uszkodzenia plików z logami, warto poznać jeden ze sposobów, w jaki problem ten można najczęściej
rozwiązać. Nie jest to rozwiązanie ani eleganckie, ani dobre z punktu widzenia administratora, jednak ale czasami jest to
rozwiązanie jedyne. Utrata dostępu do logów jest kłopotliwa i niepożądana, a system niestety nie posiada
sam w sobie żadnych mechanizmów naprawczych. Nie pozostaje nic innego, jak tylko usunięcie uszkodzonych plików.
Niestety sprawa nie jest taka prosta, jak siÄ™ wydaje.
Dlaczego? Otóż systemowy proces "Eventlog" (Dziennik zdarzeń) otwiera pliki z logami w trybie wyłączności i ich usunięcie nie
jest możliwe podczas pracy systemu.
Jeśli NT zainstalowano na partycji FAT, sprawa jest dziecinnie prosta:
- należy zamknąć system
- ponownie uruchomić komputer z użyciem dyskietki systemowej DOS/Win9x
- przejść do katalogu (np.: C:\Winnt\System32\Config) i skasować wszystkie pliki z rozszerzeniem *.evt
- po uruchomieniu systemu logi zostaną założone od zera.
Voila! Po problemie.
Gorzej jest niestety w przypadku, gdy NT zainstalowano na NTFS - co jest raczej oczywiste w wypadku serwerów, a właściwie
powinno być oczywiste ogólnie w przypadku NT ;-) Próba z dyskietką systemową DOS/Win9x nie ma szans powodzenia z
powodu
braku obsługi przez owe systemy formatu NTFS.
A gdyby tak wyłączyć usługę dziennika zdarzeń i wtedy skasować logi? Również nic z tego :-(
Usługi tej wyłączyć się nie da, a dokładniej mówiąc da się, ale nie z "menedżera" usług.
W sukurs przychodzi edytor rejestru. Poniżej cały "przepis":
- uruchomić edytor rejestru (regedt32)
- znalez
ć klucz HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog
- znalez
ć wartość Start (REG_DWORD) i zmienić jej wartość z 0x2 na 0x4
- zamknąć edytor rejestru, przeładować system
- przejść do katalogu (np.: C:\Winnt\System32\Config) i skasować wszystkie pliki z rozszerzeniem *.evt
- uruchomić edytor rejestru (regedt32)
- znalez
ć klucz HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog
- znalez
ć wartość Start (REG_DWORD) i zmienić jej wartość z 0x4 na 0x2
- przeładować system.
Powyższe rozwiązania mają jedną - raczej kłopotliwą wadę - tracone jest to, co było w starych logach.
 2
Bywa jednak, iż pliki logów nie są uszkodzone na tyle, aby były całkowicie nieczytelne.
Objawia siÄ™ to czasem komunikatem Dr. Watson´a o bÅ‚Ä™dzie w "services.exe" podczas próby odczytu danego logu. W razie, gdy
logi zawierają bardzo ważne informacje, można podjąć próbę odzyskania choćby części ich zawartości.
Aplikacja ta, obsługiwana z konsoli, potrafi przetwarzać logi zapisane w wewnętrznym formacie dziennika zdarzeń do pliku
tekstowego, który następnie można dowolnie obrabiać. Jest również możliwość odczytania wpisów bezpośrednio z plików.
Dokładny opis parametrów znajduje się w pliku pomocy dołączonym do w/w archiwum.
Program DumpEvt może pomóc w zabezpieczeniu się w przyszłości na ewentualność uszkodzenia logów.
Poniżej zamieszczono przykładowy plik wsadowy (dumplog.bat), pozwalający na okresowe "ściąganie" logów z wybranych
komputerów (po potraktowaniu poleceniem AT). Wcześniej należy utworzyć katalog, gdzie trzymane będą logi (w przykładzie
"c:\logs")
@ECHO OFF
CLS
IF NOT "%1"=="" GOTO DUMP
GOTO NOPARAM
:DUMP
IF "%1"=="" GOTO END
ECHO Zrzucam logi dla komputera: %1
FOR %%A in (app sys sec) DO dumpevt /logfile=%%A /computer=%1 /outfile=c:\logs\%1_%%A.csv >> c:\logs\error.txt
ECHO Gotowe!
ECHO.
SHIFT
GOTO DUMP
:NOPARAM
ECHO Nie podano parametrow!
ECHO Nalezy wywolac skrypt w postaci:
ECHO.
ECHO dumplog nazwa_komputera
ECHO.
ECHO Mozna podac maksymalnie 9 komputerow.
ECHO Nazwy nalezy oddzielic spacjami.
GOTO END
:END
Poniżej adresy miejsc w sieci, które pomogły w rozwiązaniu problemu z dostępem do logów i wspomogły przy pisaniu tego
artykułu:
- http://is-it-true.org/nt/atips/index.shtml
- http://www.heysoft.de/nt/eventlog/faq.htm