Операционная система Windows поддерживает несколько типов журналов событий. Один из них — журнал событий безопасности. Windows записывает в этот журнал, когда включен аудит. Запись в журнал безопасности зарезервирована только для Windows. Другие приложения не могут записывать в этот конкретный журнал событий.

Как и события, записываемые в другие журналы событий, некоторые из важных элементов, записываемых в журнал безопасности, включают дату и время, когда произошло событие, идентификатор события и источник события. Также важно отметить ключевые слова в этом журнале, так как они указывают, какой тип сообщения аудита представляет событие (например, «Успешный аудит» или «Сбой аудита»).

(См. Рис. 1.)

image

Рисунок 1. Частичное отображение журнала событий безопасности.

События можно просматривать с помощью средства просмотра событий, и по умолчанию они отображаются в обратном хронологическом порядке (т. Е. Самое последнее событие находится сверху). Однако вы можете отсортировать события по любому из столбцов событий, щелкнув заголовок столбца.

Этот совет (12923) применим к Windows 7, 8 и 10.