В Windows вы можете очистить журналы событий Event Viewer с помощью графической оснастки eventvwr.msc, из командной строки и с помощью PowerShell.
Описание журнала событий
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||
IPv4-адрес источника события. | ||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||
Детали события в формате JSON. | ||
info (информационные), warning (предупреждения), error (ошибки), critical (критичные). | ||
Модуль, в котором произошло событие. | ||
Компонент, в котором произошло событие. |
Описание журнала Syslog
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Подробнее о значениях syslog facility смотрите в RFC 5424. | ||||
Уровень важности события syslog. Например, warning. Подробнее о значениях syslog severity смотрите в RFC 5424. | ||||
Имя устройства, на котором произошло событие. | ||||
Приложение, вызвавшее событие. | ||||
PID процесса, вызвавшего событие. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | ||||
Описание журнала UserID
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Причина, по которой было создано событие. Например, вход в систему. | ||||
Действие, произведенное в событии. | ||||
IPv4 источника события. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | ||||
Уникальный идентификатор пользователя. | ||||
Уникальный идентификатор группы, в которых состоит пользователь. | ||||
Название группы, в которой состоит пользователь. | ||||
Описание журнала Windows Active Directory
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Идентификатор конечного устройства — источника события. | ||||
Поле «Пользователь» из журнала AD. | ||||
Поле «Keywords» из журнала AD. | ||||
Код категории события из журнала AD. | ||||
Файл журнала Windows. | ||||
Поле «Источник» из журнала AD. | ||||
Описание события в журнале AD. | ||||
Узел Windows из журнала AD, на котором произошло событие. | ||||
Параметры события из журнала AD после парсинга сообщения. | ||||
Код ошибки из журнала AD, которая произошла при получении данных. | ||||
Описание ошибки из журнала AD, которая произошла при получении данных. | ||||
Идентификатор счетчика WMI сенсора. | ||||
Поле «Код события» из журнала AD. | ||||
Поле «Идентификатор события» из журнала AD. | ||||
Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.). | ||||
Описание журнала защиты почтового трафика
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Почтовый адрес отправителя. | ||||
Почтовый адрес получателя. | ||||
Сетевой протокол прикладного уровня. | ||||
Уникальный идентификатор зоны источника трафика. | ||||
Название зоны источника трафика. | ||||
Название страны источника. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес источника трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор зоны назначения трафика. | ||||
Название зоны назначения трафика. | ||||
Название страны назначения. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес назначения трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | Mail security rule | |||
Уникальный идентификатор пользователя. | ||||
Уникальный идентификатор группы, в которой состоит пользователь. | ||||
Название группы, в которой состоит пользователь. | ||||
Описание журнала инспектирования SSH
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Команда, передаваемая по SSH. | ||||
Уровень угрозы приложения. | Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2) | |||
Протокол прикладного уровня. | SSH или SFTP | |||
Действие, принятое устройством в соответствии с настроенными политиками. | ||||
Уникальный идентификатор зоны источника трафика. | ||||
Название зоны источника трафика. | ||||
Название страны источника. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес источника трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор зоны назначения трафика. | ||||
Название зоны назначения трафика. | ||||
Название страны назначения. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес назначения трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | SSH Rule Example | |||
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. | ||||
Уникальный идентификатор группы, в которых состоит пользователь. | ||||
Название группы, в которой состоит пользователь. | ||||
Описание журнала
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Используемый протокол 4-го уровня. | ||||
Поле используется для указания передаваемых данных. | ||||
Причина, по которой было создано событие, например, категория, на которых сработало правило. | ||||
Идентификатор сработавшей URL-категории. | ||||
Уровень угрозы сработавшей категории. | Может принимать значения:
| |||
Search Engines & Portals | ||||
Уникальный идентификатор зоны источника трафика. | ||||
Название зоны источника трафика. | ||||
Название страны источника. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес источника трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор зоны назначения трафика. | ||||
Название зоны назначения трафика. | ||||
Название страны назначения. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес назначения трафика. | ||||
Может принимать значения от 0 до 65535. Для обычно используется порт 53. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | ||||
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. | ||||
Уникальный идентификатор группы, в которых состоит пользователь. | ||||
Название группы, в которой состоит пользователь. | ||||
Описание журнала
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) | ||||
Количество пакетов, переданных в направлении источник – назначение. | ||||
Количество пакетов, переданных в направлении назначение – источник. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Используемый протокол 4-го уровня. | TCP или UDP | |||
Количество байтов, переданных в направлении источник – назначение. | ||||
Количество байтов, переданных в направлении назначение – источник. | ||||
Действие, принятое устройством в соответствии с настроенными политиками. | ||||
Уровень угрозы приложения. | Может принимать значения:
| |||
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000. | ||||
Уникальный идентификатор группы, в которых состоит пользователь. | ||||
Название группы, в которой состоит пользователь. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | Allow trusted to untrusted | |||
Идентификатор сработавшей сигнатуры. | ||||
Уровень угрозы сработавшей сигнатуры. | Может принимать значения:
| |||
Название сработавшей сигнатуры. | ||||
Уникальный идентификатор зоны источника трафика. | ||||
Название зоны источника трафика. | ||||
Название страны источника. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес источника трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор зоны назначения трафика. | ||||
Название зоны назначения трафика. | ||||
Название страны назначения. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес назначения трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Описание журнала веб-доступа
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Идентификатор категории, к которой относится . | ||||
Уровень угрозы категории . | Может принимать значения:
| |||
Название категории, к которой относится . | ||||
Количество байтов, переданных в направлении источник – назначение. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Количество байтов, переданных в направлении назначение – источник. | ||||
Метод, используемый для доступа к URL-адресу (, и т.п.). | ||||
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. | ||||
Количество пакетов, переданных в направлении источник – назначение. | ||||
Действие, принятое устройством в соответствии с настроенными политиками. | ||||
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000) | ||||
Протокол прикладного уровня и его версия. | ||||
Код ответа HTTP. | ||||
Количество пакетов, переданных в направлении назначение – источник. | ||||
источника запроса (реферер HTTP). | ||||
Поле указывает было ли содержимое расшифровано. | ||||
Причина, по которой было создано событие, например, причина блокировки сайта. | ||||
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 | ||||
Уникальный идентификатор зоны источника трафика. | ||||
Название зоны источника. | ||||
Страна источника трафика. | RU (отображается двухбуквенный код страны) | |||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор зоны назначения трафика. | ||||
Название зоны назначения трафика. | ||||
RU (отображается двухбуквенный код страны) | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор правила, срабатывание которого вызвало создание события. | ||||
Уникальный идентификатор пользователя. | ||||
Уникальный идентификатор группы, в которой состоит пользователь. | ||||
Название группы, в которой состоит пользователь. | ||||
Описание журнала АСУ ТП
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ. | ||||
Критичность АСУ ТП. | ||||
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство). | ||||
Адрес регистра, с которым необходимо провести операцию. | ||||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | ||||
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS. | ||||
Адрес устройства, используемый в протоколах MMS и OPCUA. | ||||
Количество значений для записи (команда Read Write Register). | ||||
Начальный адрес регистра для записи (команда Read Write Register). | ||||
Записываемое значение (для команд Write Single Coil, Write Single Register). | ||||
Количество значений для чтения (команда Read Write Register). | ||||
Начальный адрес регистра для чтения (команда Read Write Register). | ||||
Количество значений для чтения. | ||||
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil). | ||||
Значение маски OR команды Mask Write Register. | ||||
Код ошибки. Актуален для типа сообщения error_response. | ||||
Значение маски AND команды Mask Write Register. | ||||
request, response, error_response | ||||
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события. | ||||
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU). | ||||
Адрес ASDU (COA – Common Object Address). Параметр относится к протоколу IEC-104. | ||||
Протокол прикладного уровня. | ||||
Действие, принятое устройством в соответствии с настроенными политиками. | ||||
Уникальный идентификатор зоны источника трафика. | ||||
Название зоны источника трафика. | ||||
Название страны источника. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес источника трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор зоны назначения трафика. | ||||
Название зоны назначения трафика. | ||||
Название страны назначения. | RU (отображается двухбуквенный код страны) | |||
IPv4-адрес назначения трафика. | ||||
Может принимать значения от 0 до 65535. | ||||
Уникальный идентификатор правила, срабатывание которого создало событие. | ||||
Название правила, срабатывание которого вызвало событие. | SCADA Sample Rule | |||
Формат журнала
Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2). | |||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, принятое устройством в соответствии с настроенными политиками. | |||
Причина, по которой было создано событие, например, категории, на которых сработало правило. | |||
Протокол прикладного уровня. | |||
Поле используется для индикации сработавшего правила. | |||
Название правила, срабатывание которого вызвало событие. | |||
Имя хоста назначения, адрес которого определяется с помощью сервера. | |||
Используемый протокол 4-го уровня. | |||
IPv4 источника трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны источника. | |||
Название зоны источника. | |||
Поле используется для указания страны источника. | |||
Название страны источника. | RU (отображается двухбуквенный код страны) | ||
IPv4 адрес назначения трафика. | |||
Может принимать значения от 0 до 65535. Для обычно используется порт 53. | |||
Поле используется для индикации зоны назначения. | |||
Название зоны назначения. | |||
Поле используется для указания страны назначения. | |||
RU (отображается двухбуквенный код страны) | |||
Поле используется для указания передаваемых данных. | |||
Поле указывает на категорию запрашиваемого URL-адреса. | |||
Search Engines & Portals |
Отличия, которые имеются в формате CEF Compact:
cs3Label=Source Country; cs3=$src_country;
cs5Label=Destination Country; cs5=$dst_country;
Изменены следующие поля:
Значения некоторых полей обрезаются по длине до 80 символов — это общее правило для компактного формата. Например, список url-категорий, , имя пользователя, имя правила, имя зоны, и т.п.
Формат журнала UserID
Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2). | |||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое идентифицирует устройство, генерирующее это событие. | |||
Действие, примененное к событию. | |||
Причина, по которой было создано событие. Например, вход в систему. | |||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. | |||
IPv4 источника трафика. |
Формат журнала веб-доступа
Уровень угрозы категории . | Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена. | ||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, принятое устройством в соответствии с настроенными политиками. | |||
Причина, по которой было создано событие, например, причина блокировки сайта. | |||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. | |||
IPv4 источника трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны источника. | |||
Название зоны источника. | |||
Поле используется для указания страны источника. | |||
Название страны источника. | RU (отображается двухбуквенный код страны) | ||
IPv4 адрес назначения трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны назначения. | |||
Название зоны назначения. | |||
Поле используется для указания страны назначения. | |||
Название страны назначения. | RU (отображается двухбуквенный код страны) | ||
Поле указывает было ли содержимое расшифровано. | |||
Расшифровано или нет. | |||
Протокол прикладного уровня и его версия. | |||
Метод, используемый для доступа к URL-адресу (, и т.п.). | |||
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола. | |||
источника запроса (реферер HTTP). | |||
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0 | |||
Поле указывает исходный ответ сервера. | |||
Код ответа HTTP. | |||
Поле указывает на тип контента. | |||
Поле указывает на категорию запрашиваемого URL-адреса. | |||
Computers & Technology | |||
Количество переданных входящих байтов; данные передаются в направлении источник – назначение. | |||
Количество переданных исходящих байтов; данные передаются в направлении назначение – источник. | |||
Поле используется для указания количества переданных пакетов в направлении источник – назначение. | |||
Количество переданных пакетов в направлении источник – назначение. | |||
Поле используется для указания количества переданных пакетов в направлении назначение – источник. | |||
Количество переданных пакетов в направлении назначение – источник. |
Формат журнала событий
Модуль, в котором произошло событие. | |||
Может принимать значения: | |||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Компонент, в котором произошло событие. | |||
Поле используется для указания деталей события. | |||
Детали события в формате JSON. |
Удаление логов Windows из командной строки
Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.
Вывести список зарегистрированных в Windows журналов событий:
или короткий вариант:
Для удаления событий из одного конкретного журнала, скопируйте его имя и выполните команду:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational
Перед очисткой можно создать резервную копию событий в журнале в отдельный файл:
WevtUtil cl Microsoft-Windows-GroupPolicy/Operational /bu:GPOLOG_Bak.evtx
Можно очистить сразу все журналы событий из cmd.exe:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Для BAT файла нужно использовать немного другой синтаксис:
for /F "tokens=*" %%1 in ('wevtutil.exe el') DO wevtutil.exe cl "%%1"
Формат журнала Windows Active Directory
Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2). | |||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Описание события в журнале AD. | Group membership information | ||
Поле используется для указания кода события из журнала AD. | |||
Поле используется для указания номера идентификатора события из журнала AD. | |||
Поле используется для указания типа события журнала Windows (Система\Безопасность\Приложение и т. д.). | |||
Тип события журнала Windows. | |||
Поле используется для указания идентификатора конечного устройства — источника события. | |||
Идентификатор конечного устройства. | |||
Имя конечного устройства. | |||
Поле используется для указания уровня важности события в журнале AD. | |||
Уровень важности события. | |||
Поле используется для указания кода категории события (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд) | |||
Поле используется для указания файла журнала Windows. | |||
Файл журнала Windows | |||
Поле используется для указания источника из журнала AD. | |||
Поле используется для указания содержания события из журнала AD. | |||
Параметры события из журнала AD после парсинга сообщения. |
Формат журнала защиты почтового трафика
Уровень угрозы приложения. | Может принимать значения: | ||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, выполненное устройством в соответствии с настроенными политиками. | |||
Поле используется для указания названия правила. | |||
Название правила защиты почтового трафика. | Mail security rule | ||
Может принимать значения от 0 до 65535. | |||
Поле используется для указания зоны источника. | |||
Поле используется для индикации страны источника трафика. | |||
Страна источника трафика. | RU (отображается двухбуквенный код страны) | ||
Может принимать значения от 0 до 65535. | |||
Поле используется для указания зоны назначения трафика. | |||
Название зоны назначения трафика. | |||
Поле используется для индикации страны назначения трафика. | |||
RU (отображается двухбуквенный код страны) | |||
Протокол прикладного уровня. | |||
Количество переданных входящих байтов; данные передаются в направлении источник – назначение. | |||
Количество переданных исходящих байтов; данные передаются в направлении назначение – источник. | |||
Поле используется для указания почтового адреса отправителя. | |||
Поле используется для указания почтового адреса получателя. | |||
Поле используется для указания количества переданных пакетов в направлении источник – назначение. | |||
Количество переданных пакетов в направлении источник – назначение. | |||
Поле используется для указания количества переданных пакетов в направлении назначение – источник. | |||
Количество переданных пакетов в направлении назначение – источник. |
Формат журнала
Название сработавшей сигнатуры . | |||
Уровень угрозы сигнатуры. | Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2). | ||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, принятое устройством в соответствии с настроенными политиками. | |||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. | IDPS Rule Example | ||
Уровень угрозы сигнатуры и её название. | |||
Протокол прикладного уровня. | |||
Используемый протокол 4-го уровня. | TCP или UDP | ||
IPv4 источника трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны источника. | |||
Название зоны источника. | |||
Поле используется для указания страны источника. | |||
Название страны источника. | RU (отображается двухбуквенный код страны) | ||
IPv4 адрес назначения трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны назначения. | |||
Название зоны назначения. | |||
Поле используется для указания страны назначения. | |||
Название страны назначения. | RU (отображается двухбуквенный код страны) | ||
Количество переданных входящих байтов; данные передаются в направлении источник – назначение. | |||
Количество переданных исходящих байтов; данные передаются в направлении назначение – источник. |
Очистка журнал событий из графической консоли Event Viewer
Самый интуитивный способ очистки журналов событий Windows – воспользоваться графической консоль Event Viewer.
- Запустите консоль
eventvwr.msc
;
- Щелкните правой кнопкой по журналу и выберите Clear Log;
Такой способ позволяет быстро удалить все события из одного конкретного журнала. Однако в Windows используется несколько сотен журналов для разных компонентов операционной системы и стороннего ПО.
По умолчанию Windows хранит журналы в файлах с расширением EVTX в каталоге
%SystemRoot%\System32\Winevt\Logs\
.
Если вам нужно очистить их все – это будет утомительно вручную прощелкать все разделы Event Viewer и очистить каждый журнал. В этом случае для удаления событий лучше использовать PowerShell или командную строку.
Формат журнала трафика
Тип правила, срабатывание которого вызвало событие. | |||
Уровень угрозы приложения. | Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2). | ||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, принятое устройством в соответствии с настроенными политиками. | |||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. | Allow trusted to untrusted | ||
IPv4 источника трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны источника. | |||
Название зоны источника. | |||
Поле используется для указания страны источника. | |||
Название страны источника. | RU (отображается двухбуквенный код страны) | ||
Используемый протокол 4-го уровня. | TCP или UDP | ||
IPv4 адрес назначения трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны назначения. | |||
Название зоны назначения. | |||
Поле используется для указания страны назначения. | |||
Название страны назначения. | RU (отображается двухбуквенный код страны) | ||
Адрес источника после переназначения (если настроены правила NAT). | 192.168.174.134 (0.0.0.0 – если нет) | ||
Порт источника после переназначения (если настроены правила NAT). | Может принимать значения от 0 до 65535 (0 – если нет) | ||
Адрес назначения после переназначения (если настроены правила NAT). | 192.226.127.130 (0.0.0.0 – если нет) | ||
Порт назначения после переназначения (если настроены правила NAT). | Может принимать значения от 0 до 65535 (0 – если нет) | ||
Количество переданных входящих байтов; данные передаются в направлении источник – назначение. | |||
Количество переданных исходящих байтов; данные передаются в направлении назначение – источник. | |||
Поле используется для указания количества переданных пакетов в направлении источник – назначение. | |||
Количество переданных пакетов в направлении источник – назначение. | |||
Поле используется для указания количества пакетов, переданных в направлении назначение – источник. | |||
Количество пакетов, переданных в направлении назначение – источник. |
Формат журнала инспектирования SSH
Уровень угрозы приложения. | Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2). | ||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, принятое устройством в соответствии с настроенными политиками. | |||
Протокол прикладного уровня. | SSH или SFTP | ||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. | SSH inspection rule | ||
IPv4 источника трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны источника. | |||
Название зоны источника. | |||
Поле используется для указания страны источника. | |||
Название страны источника. | RU (отображается двухбуквенный код страны) | ||
IPv4 адрес назначения трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны назначения. | |||
Название зоны назначения. | |||
Поле используется для указания страны назначения. | |||
Название страны назначения. | RU (отображается двухбуквенный код страны) | ||
Указание на команду, передаваемую по SSH. | |||
Команда, передаваемая по SSH, в формате JSON. |
Команда PowerShell для очистки журналов событий
В PowerShell для получения списка журналов событий Windows и их очистки можно использовать командлеты Get-WinEvent и Clear-EventLog.
Откройте консоль PowerShell с правами администратора, выведите список всех имен журналов в Windows и их настройки:
Get-WinEvent -ListLog *
Команда выведет максимальные размеры и параметры всех журналов событий Windows.
Чтобы удалить все события из двух журналов (например, журналов Security и System), выполните команду:
Clear-EventLog –LogName Security,System
При этом журнал очищается, и в него записывается событие с EventID 104 или 1102 с временем очистки, пользователем, выполнившим и описанием:
The System log file was cleared The audit log was cleared.
Для очистки административных и операционных журналов событий Windows, выполните такую однострочную команду PowerShell:
Примечание. В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Попробуйте вручную очистить содержимое этих журналов из консоли Event Viewer.
Формат журнала АСУ ТП
Критичность АСУ ТП. | |||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Действие, принятое устройством в соответствии с настроенными политиками. | |||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. | Scada Rule Example | ||
IPv4 источника трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны источника. | |||
Название зоны источника. | |||
Поле используется для указания страны источника. | |||
Название страны источника. | RU (отображается двухбуквенный код страны) | ||
IPv4 адрес назначения трафика. | |||
Может принимать значения от 0 до 65535. | |||
Поле используется для индикации зоны назначения. | |||
Название зоны назначения. | |||
Поле используется для указания страны назначения. | |||
Название страны назначения. | RU (отображается двухбуквенный код страны) | ||
Протокол прикладного уровня. | |||
Поле указывает на информацию об устройстве. | |||
Информация об устройстве в формате JSON. |
Формат журнала Syslog
Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2). | |||
Время, когда было получено событие: миллисекунды с 1 января 1970 года. | |||
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. | |||
Поле используется для указания типа источника событий syslog. Подробнее о значениях syslog facility смотрите в RFC 5424. | |||
Поле используется для указания имени устройства, на котором произошло событие. | |||
Имя компьютера, на котором произошло событие. | |||
Поле используется для указания приложения, вызвавшего событие. | |||
Поле используется для указания идентификатора процесса события. | |||
PID процесса вызвавшего событие. | |||
Поле используется для указания срабатывания правила. | |||
Название правила, срабатывание которого вызвало событие. |
