none
Очистка журнала безопасности RRS feed

  • Вопрос

  • Доброго времени суток!

    Сегодня просматривал журнал безопасности и вдруг наткнулся на такую запись:

    Журнал аудита был очищен.
    Субъект:
    ИД безопасности: система
    Имя учетной записи: система
    Имя домена: NT AUTHORITY
    ИД входа: 0x3e7

    При каких условиях система может самостоятельно очистить журнал?

    26 ноября 2018 г. 6:10

Ответы

  • В Планировщике заданий, в \Microsoft\Windows\MUI сидит задание DLogs, автор я, задача запускается каждый час от имени системы. Запускает она это: C:\Windows\Logs\logos.bat

    Локально посмотреть содержимое так и не удалось, как я не изгалялся с правами, пришлось копировать на сетевой ресурс. Вот содержимое батника:

    @echo off
    timeout /T 5
    FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
    IF (%adminTest%)==(Access) goto noAdmin
    for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
    echo.
    echo Event Logs have been cleared!
    goto theEnd
    :do_clear
    echo clearing %1
    wevtutil.exe cl %1

    goto :eof
    :noAdmin
    echo You must run this script as an Administrator!
    echo.
    :theEnd
    rd /s /q %systemdrive%\$RECYCLE.BIN
    exit

    Похоже завелись диверсанты


    • Помечено в качестве ответа Rinat Moustafin 26 ноября 2018 г. 14:32
    • Изменено Rinat Moustafin 27 ноября 2018 г. 17:51
    26 ноября 2018 г. 14:32

Все ответы

  • Может когда maximum event log size is reached?

    У вас что выставлено в настройках лога?

    26 ноября 2018 г. 6:19
  • У меня стоит Перезаписывать события при необходимости, да и событий всего с десяток, не мог он переполнится
    26 ноября 2018 г. 6:41
  • Поищите событие с кодом ID 104 в журнале система
    26 ноября 2018 г. 7:29
  • Нашел такие события. Их 3 и все выполнены под системной учетной записью.



    26 ноября 2018 г. 11:12
  • В Планировщике заданий, в \Microsoft\Windows\MUI сидит задание DLogs, автор я, задача запускается каждый час от имени системы. Запускает она это: C:\Windows\Logs\logos.bat

    Локально посмотреть содержимое так и не удалось, как я не изгалялся с правами, пришлось копировать на сетевой ресурс. Вот содержимое батника:

    @echo off
    timeout /T 5
    FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
    IF (%adminTest%)==(Access) goto noAdmin
    for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
    echo.
    echo Event Logs have been cleared!
    goto theEnd
    :do_clear
    echo clearing %1
    wevtutil.exe cl %1

    goto :eof
    :noAdmin
    echo You must run this script as an Administrator!
    echo.
    :theEnd
    rd /s /q %systemdrive%\$RECYCLE.BIN
    exit

    Похоже завелись диверсанты


    • Помечено в качестве ответа Rinat Moustafin 26 ноября 2018 г. 14:32
    • Изменено Rinat Moustafin 27 ноября 2018 г. 17:51
    26 ноября 2018 г. 14:32