Как открыть журнал
Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.
В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.
Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».
Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.
Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.
Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.
Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок
Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.
Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».
Создаем bat-файл для очистки всего
Теперь попытаемся автоматизировать некоторые описанные ранее операции. Начнем с удаления файлов из каталога Recent. Удалять командой del, как было показано выше, можно, но лучше сразу использовать CCleaner для безопасного удаления.
К сожалению, CCleaner нельзя вызвать так, чтобы он почистил в режиме командной строки все свободное пространство, поэтому придется удалять файлы через него, а не командой del или же использовать команду del, а потом вручную запустить его и вызвать очистку свободного пространства. Последний параметр (1) означает удаление с тремя проходами. Это оптимальный режим, поскольку с одним проходом (0) — слишком просто, а все остальные — слишком долго. С полным перечнем параметров командной строки CCleaner можно ознакомиться на сайте разработчиков.
Из командной строки можно чистить и список USB-накопителей при помощи USB Oblivion:
Первый параметр запускает реальную очистку, а не симуляцию. Второй — работу в автоматическом режиме (тебе не придется нажимать кнопку), файлы .reg сохраняться не будут (), а параметр означает работу в тихом режиме — как раз для командной строки.
Далее нужно запустить CCleaner с параметром для автоматической очистки по умолчанию. Это не очистит кеш DNS, так что придется сделать это вручную:
В итоге у нас получился вот такой сценарий:
Как можно узнать, кто ищет вас в интернете?
Искать информацию о вас могут разные категории людей:
- коллеги;
- знакомые;
- друзья;
- родственники;
- злоумышленники.
От первых четырех категорий тоже есть что скрывать, но самое опасное, если пользователем интересуются мошенники. Они могут найти общую информацию или даже что-то конкретное, если в интернете это есть. Даже адрес, который указан только на каком-то форуме в 2008 году.
Вторая причина, почему люди хотят узнать, кто их ищет, – им банально хочется узнать, кто может Гуглить запросы или искать что-то в соцсетях. Это любопытство: кто может мной интересоваться и следить.
Вне зависимости от причины, знать о том, кто ищет информацию, полезно. Перейдем к конкретным способам.
ВКонтакте уже давно добавили функцию отображения просмотра записи. Это показывает, сколько пользователей видели запись на стене. Ввод этой функции дал возможность просматривать тех, кто заходил на страницу, даже если их нет в друзьях. Проверить, кто это был, можно через приложение «Мои гости».
Софт анализирует поведение посетителей страницы. Видеть тех, кто зашел и оставил данные в архиве, а также тех, кто оставляет комментарии. Не всегда работает так, как задумано, тем не менее, дает примерное представление о том, кто часто посещает страницу и создает активность.
Любой пользователь ВКонтакте может забыть об анонимности. В лицензионном соглашении написано, что, регистрируясь в сети, вы принимаете условия. Одно из них – то, что информация автоматически становится публичной.
Это значит, что пользователь, как только начинает публиковать записи на стене, уже не может говорить о том, что это конфиденциальная информация. Ее можно использовать в любых целях, в том числе парсить (собирать данные).
В Яндексе
В Яндексе можно найти упоминания о человеке. Его адрес, город и возраст, если информация попала на какой-нибудь сайт, форум или в соцсеть. Это значит, что, при желании, можно легко найти конкретного человека, если он оставил о себе следы в сети.
Поисковик – главный источник информации. Чтобы понять, что вас кто-то искал в интернете, достаточно начать вводить свои данные в строку поиска. Если всплывет автоматическая подсказка – значит, кто-то это уже делал в последние 3 месяца.
Скорее всего, у вас есть человек, которого зовут так же. И он живет в том же городе. Чтобы удостовериться, что это вы, нужно щелкнуть по всплывающей подсказке и перейти на страницу выдачи. В топе будет то, что искали другие пользователи.
Важно! Можно сузить область поиска по региону и возрасту. К примеру: «Иван Иванович из Москвы» и «Иван Иванович 27 лет»
Запросы можно комбинировать. Так диапазон совпадений сужается, что дает возможность просмотреть, искал ли кто-то конкретного человека или нет.
Номер телефона
Номер телефона в цифровом пространстве – один из главных источников информации. По нему можно отследить регион, город и улицу. В некоторых случаях адрес человека нигде не «светится», но мобильные операторы могут допустить утечку. И тогда информация просачивается в открытый доступ.
Проверить, следит ли кто-то за номером телефона, можно через поисковик. Как и с именем, постепенно вводить цифры и смотреть, всплывает ли номер. Если на этапе ввода предпоследнего знака есть совпадения, значит, этот номер искали.
Только номер не говорит о том, что есть еще какие-то данные. Тем не менее, если при поиске отображаются имя, фамилия и адрес – значит, есть повод задуматься.
Просмотр в Диспетчере задач
Еще один и, возможно, наиболее простой способ узнать время включения ПК – обратиться к Диспетчеру задач. Правда, в таком случае вы получите информацию о том, сколько часов, минут и секунд компьютер находится в активном состоянии. То есть здесь указывается продолжительность работы устройства, а не время его запуска.
Для получения нужной информации сделайте следующее:
Одновременно нажмите клавиши «Ctrl» + «Shift» + «Enter» для запуска Диспетчера задач.
- Откройте вкладку «Производительность».
- Внимательно изучите окно активности.
Открывшийся интерфейс расскажет об активности процессора. В частности, здесь указано время работы оборудования компьютера. Исходя из полученной информации, можно сделать вывод, когда именно был запущен ПК. Однако для получения точного результата необходимо произвести математические расчеты, что не всегда бывает удобно.
Как посмотреть время включения компьютера
Для того, чтобы проверить, когда включили компьютер, воспользуйтесь командной строкой. Один из способов открыть консоль – нажать Win+R на клавиатуре. Затем в строку ввести команду cmd и кликнуть «Enter». Про дополнительные варианты запуска командной строки, прочтите отдельную статью.
Дальше напечатайте команду systeminfo и кликните «Enter».
В консоли отобразится основная информация о системе. Найдите в списке «Время загрузки…» и посмотрите, когда включили компьютер.
Обращаю ваше внимание, что здесь будет указано время включения ПК именно после его полного выключения. Например, включили его в 13:49, потом в 14:20 он ушел в гибернацию или спящий режим
Разбудили его в 15:00. В командной строке вы увидите 13:49, а не 15:00. То есть время, когда система загрузилась, а не когда ее вывели из сна или гибернации.
0x03 журнал классификации
В журнале событий Windows есть пять типов событий. Все события должны иметь один из пяти типов событий, и может быть только один тип. Пять типов событий делятся на:
1. Информация
Информационные события относятся к событиям успешной работы приложения, драйвера или службы.
2. Предупреждение
Предупреждающее событие относится к проблеме, которая не является прямой и серьезной, но вызовет будущие проблемы. Например, если места на диске недостаточно или принтер не найден, регистрируется событие «предупреждение».
3. Ошибка
События ошибок относятся к важным проблемам, о которых должны знать пользователи. События ошибок обычно относятся к потере функций и данных. Например, если служба не может быть загружена при загрузке системы, она сгенерирует событие ошибки.
4. Аудит успеха
Успешные аудиторские попытки доступа к безопасности в основном относятся к журналам безопасности, которые регистрируют вход / выход пользователя из системы, доступ к объектам, использование привилегий, управление учетными записями, изменения политики, подробное отслеживание, доступ к службе каталогов, вход в учетную запись и другие события, такие как все успехи. Система входа будет записана как событие «успешного аудита».
5. Аудит отказов
Неудачная попытка безопасного входа в систему аудита, например, попытка пользователя получить доступ к сетевому диску, не будет выполнена, попытка будет записана как событие неудачного аудита.
Место хранения файла журнала событий (Vista / Win7 / Win8 / Win10 / Server2008 / Server 2012 и более поздние версии)
тип |
Тип события |
описание |
Имя файла |
Журнал Windows |
система |
Содержит системные процессы, активность диска устройства и т. Д. В событиях записывается, что драйвер устройства не может запускаться или останавливаться нормально, происходит сбой оборудования, дублируется IP-адрес, а также запускается, останавливается и приостанавливается системный процесс. |
System.evtx |
безопасности |
Содержит события, связанные с безопасностью, такие как изменения прав пользователя, вход и выход, доступ к файлам и папкам, печать и другая информация. |
Security.evtx |
|
приложений |
Содержит события, связанные с прикладным программным обеспечением, установленным операционной системой. События включают в себя ошибки, предупреждения и информацию, о которой должно сообщать любое приложение. Разработчики приложения могут решить, какую информацию записать. |
Application.evtx |
|
Журналы приложений и услуг |
Microsoft |
Папка Microsoft содержит более 200 категорий встроенных журналов событий Microsoft. Только для некоторых типов по умолчанию включено ведение журнала, например, подключение клиента удаленного рабочего стола, беспроводная сеть, проводная сеть, установка устройства и другие связанные журналы. |
Подробности смотрите в соответствующем файле в каталоге хранилища журналов. |
Microsoft Office Alerts |
Различная предупреждающая информация о приложениях Microsoft Office (включая Word / Excel / PowerPoint и т. Д.), Которая содержит различное поведение пользователей при работе с документами и записывает такую информацию, как имена файлов и пути. |
OAerts.evtx |
|
Windows PowerShell |
Журнал информации о приложении PowerShell, которое поставляется с Windows. |
Windows PowerShell.evtx |
|
Internet Explorer |
Информация журнала приложения браузера IE не включена по умолчанию и должна быть настроена с помощью групповой политики. |
Internet Explorer.evtx |
Таблица 1 событие место хранения журнала
Совет:% SystemRoot% является системной переменной среды, и значением по умолчанию является C: \ WINDOWS.
Адрес:
С помощью инструмента «Просмотр событий» эти файлы журнала событий EVTX можно экспортировать в файлы форматов evtx, xml, txt и csv.
Локальные групповые политики
Хороший способ, с точностью показывающий время последнего входа. Для реализации данного варианта стоит воспользоваться простым алгоритмом:
- Откройте окно «Выполнить» путем нажатия клавиш «Win» + «R».
- Укажите запрос «gpedit.msc», а затем подтвердите ввод.
Перейдите в директорию, расположенную по пути: «Административные шаблоны/Компоненты Windows/Параметры входа Windows».
В открывшемся окне дважды кликните по заголовку «Отображать при входе пользователя сведения о предыдущих попытках входа».
Установите значение «Включено».
Сохраните изменения.
Теперь необходимо перезагрузить компьютер. После повторного включения на экране появится сообщение со временем последнего входа в систему. Так будет происходить всякий раз, пока пользователь не отключит функцию через Редактор групповых политик.
Что же для этого необходимо?
Самое банальное, для чего требуется эта информация, – это понять, не нарушили ли дети ваш запрет на пользование ПК. Если же наказание распространяется на запрет использования компьютера только лишь в ночное время, эта статья также поможет вам узнать, когда включался компьютер.
А может, кто-то повадился использовать вашу технику в личном кабинете. Ведь бывают ситуации, в которых вам срочно нужно уйти из кабинета на длительный промежуток времени, но возможности защитить личную информацию на принадлежащем вам электронном устройстве не предоставляется. Кроме того, нет шанса и проследить, не работает ли кто за вашим ПК. Зато есть возможность определить, когда в последний раз включался компьютер.
Узнать, когда включался компьютер, довольно просто. Все, что вам нужно – это ваш компьютер, базовые знания по его использованию, а также следование представленной ниже инструкции.
Linux
Любая из приведенных ниже команд позволит посмотреть общее время работы Linux:
Uptime
13:28:16 up 27 days, 2:46, 1 user, load average: 0.00, 0.02, 0.05
* где 13:28:16 — текущее время; up 27 days — дней с последней перезагрузки.
* по сути, ответ тот же, что и после ввода команды uptime, с подробными сведениями подключения пользователей.
Top
Команда top предназначена для отображения состояния загруженности Linux, но она также показывает, сколько компьютер работал после перезагрузки:
top — 13:35:15 up 27 days, 2:53, 1 user, load average: 0.03, 0.03, 0.05 Tasks: 116 total, 1 running, 115 sleeping, 0 stopped, 0 zombie %Cpu(s): 0.0 us, 0.0 sy, 0.0 ni, 99.8 id, 0.0 wa, 0.0 hi, 0.0 si, 0.2 st KiB Mem : 1016040 total, 77052 free, 591528 used, 347460 buff/cache KiB Swap: 524284 total, 231264 free, 293020 used. 237288 avail Mem
* в данном случае, нас интересует верхняя строчка, которая нам напоминает вывод, все той же, uptime.
Запуск приложения «Просмотр событий»
Приложение «Просмотр событий» можно открыть следующими способами:
- Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Просмотр событий» и нажмите на кнопку «Добавить». Затем нажмите на кнопку «Готово», а после этого — кнопку «ОК»;
- Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите eventvwr.msc и нажмите на кнопку «ОК»;
Системная утилита quser.exe
Мы можем использовать системную программу quser, которая возвращает имя текущего пользователя и время его входа. Выглядит это так:
Quser так же может работать удаленно используя следующий синтаксис:
Первая проблема этого способа — это то, что quser работает через RPC. Если вы выполняете команду удаленно, а порты не открыты, вы получите ошибки:
- Error 0x000006BA enumerating sessionnames
- Error :The RPC server is unavailable.
Для примера, следующие команды исправят эти проблемы на одном компьютере, но скорее всего вы будете менять настройки через политики
Так же обратите внимание, что правило устанавливается на «Any», а не только «Domain»:. Вторая проблема — если вы будете выполнять команду через Invoke-Command, то могут быть проблемы с кодировками:
Вторая проблема — если вы будете выполнять команду через Invoke-Command, то могут быть проблемы с кодировками:
И третья проблема — у нас возвращается строка, а не объект. Что бы мы могли все эти данные, в дальнейшем, экспортировать (например в CSV), мы должны ее парсить. Это можно сделать так:
Далее нам нужно преобразовать все в специальный массив — PSCustomObject, т.к. только он может быть экспортирован в CSV и представляет собой более удобный вывод:
Метод substring убирает первый символ, так как программа возвращает имя пользователя либо с пробелом начали или символом «>».
Такой скрипт мы можем объединить в один командлет, который сможет работать локально и удаленно:
В функцию добавлено несколько деталей:
- Функция имеет атрибут «ComputerName» в которую можно передать имя компьютера. Т.к. эта переменная является строкой мы не можем использовать одновременно несколько (конвейер передает по одному);
- По умолчанию «ComputerName» выполняет $env:computername, что возвращает имя текущего компьютера;
- Часть команды «quser /server:$ComputerName 2>Null » будет исключать некоторые ошибки, которые связаны с выключенными компьютерами. Иначе — будут выводиться красные сообщения мешающие выводу;
- Добавлено несколько условий, которые различают логические ошибки (например фаервол), физические (компьютер выключен) и условие в случае если все хорошо;
Мы можем вызывать скрипт несколькими приемами:
Отмечу, что в случаях выключенных компьютеров запросы идут очень долго (около 2-3 секунд на компьютер). Способа снизить конкретно таймаут — я не знаю. Один из вариантов ускорить работу — фильтровать вывод с Get-ADComputer исключая отключенные учетные записи компьютеров. Так же можно попробовать использовать параллелизм.
Легче всего такой скрипт запускать на компьютерах пользователей, по событию входа в систему. На примере ниже я экспортирую эти данные в единый, для всех пользователей, файл CSV расположенный в доступности для пользователей:
Сам файл будет выглядеть так:
Отмечу следующие моменты:
- Можно увидеть разницу во времени и датах. У меня одна ОС с американской локализацией, а другая с русской. В принципе у вас таких проблем быть не должно, но можно исправить через Get-Date (парсингом даты);
- Из-за предыдущего пункта у меня бывали проблемы с кодировками, но они самоустранились быстрее, чем я смог предпринять действия.
Как узнать кто включал мой компьютер?
Итак, давайте откроем этот журнал событий. Нажимаете на «Пуск» и в строке поиска вводите – «Просмотр событий».
В следующем окне откроется окно событий, состоящее из таблицы, в которой, как Вы видите, отображается дата и время, а также код события, категория.
Глядя на эту таблицу можно определить, когда производилось включение и выключение компьютера. Например, 09 сентября я выключил компьютер, и следующее включение производилось мною уже 10 сентября. То есть, в мое отсутствие компьютером никто не пользовался.
На этом у меня все. Теперь Вы будите в курсе — Как узнать когда включали компьютер.
В следующей статье расскажу Вам => Как поставить пароль на флешку?
Уважаемые пользователи, если у вас после прочтения этой статьи возникли вопросы или вы желаете что-то добавить относительно тематики данной статьи или всего интернет-ресурса в целом, то вы можете воспользоваться формой комментарий.Также Задавайте свои вопросы, предложения, пожелания..
Итак, на сегодня это собственно все, о чем я хотел вам рассказать в сегодняшнем выпуске. Мне остается надеяться, что вы нашли интересную и полезную для себя информацию в этой статье. Ну а я в свою очередь, жду ваши вопросы, пожелания или предложения относительно данной статьи или всего сайта в целом
Ищем журнал посещений
В популярнейших браузерах для открытия списка сайтов, куда были произведены заходы, существует сочетание клавиш: Ctrl+H либо Ctrl+Shift+H. Также открывается список с помощью встроенной функции.
Рассмотрим, как проверить историю посещения сайтов в отдельных браузерах, наиболее распространённых.
Google Chrome
Откройте Google Chrome. Возле адресной строки есть кнопка настроек. Нажав на неё, откроете меню, где вам следует выбрать пункт «История». Теперь можете посмотреть список адресов сайтов, расположенных по дате их просмотра. Зная, допустим, что на нужную страницу вы заходили вчера, вы легко её найдёте, не пересматривая ссылки, посещённые ранее и позднее.
История в Google Chrome
Firefox
Популярный браузер содержит информацию о просмотрах в «Журнале», в котором, чтобы проверить, кликните на «Показать весь журнал». Он находится в верхнем меню либо его можно вызвать, нажав левый Alt. В Firefox разделены ссылки по дате, причём слева есть список меню, в нём можно выбрать, за какой период просмотреть историю: сегодняшние посещения, вчерашние, за неделю, месяц.
Журнал в Firefox
Opera
В Opera кликните на кнопку вверху слева, вызывая меню браузера. Там зайдите на пункт «История».
История в браузере Opera
Яндекс
В Яндексе функции похожи на Chrome, также историю вы найдёте под значком настроек, расположенным вверху справа. Когда желаете посмотреть и проверить адреса, в списке кликните на «История» — «Менеджер истории».
Посещенные сайты в Яндекс.браузере
IE
В Internet Explorer для открытия информации о посещениях кликните на звёздочку на панели инструментов. В меню, появившемся после этого, выбираете «Журнал». Теперь можете посмотреть список сайтов, структурированный по дате.
Журнал в Internet Explorer
Отслеживание действий на ПК
Посмотреть, каким образом использовался компьютер, можно тремя способами. Первый возможен через «Недавние документы». Отобразить файлы можно по следующей схеме:
- Правой кнопкой мыши нажать на «Пуск».
- Выбрать строку «Свойства».
- По умолчанию должен открыться пункт «меню «Пуск». Если этого не произошло, то необходимо самостоятельно перейти в него.
- Поставить галочки в блоке «Конфиденциальность».
Второй способ просмотра активности на компьютере — войти в «Корзину». При работе могут удаляться некоторые файлы, но не все пользователи удаляют их с компьютера.
Третий способ — просмотреть папку «Загрузки». Возможно, что другой человек скачивал программы или файлы. Эта папка автоматически сохраняет подобные действия. Еще можно воспользоваться сочетанием клавиш Ctrl +J.
Посмотреть историю посещений можно через новый атрибут файла, показывающий последнюю дату изменения. Необходимо нажать правой кнопкой мыши по нужному документу. В выпадающем окне выбрать «Свойства». Пользователь должен запомнить дату и произвести следующие действия:
- Воспользоваться поиском, нажав Win + F.
- В крайней строке, где нарисована лупа, щелкнуть мышью.
- Появится окошко с прошлыми запросами. Внизу есть атрибуты поиска, необходимо выбрать «Дата изменения».
- Указать дату.
Будут представлены папки, которые открывались за это время.
Заглянем в Корзину
Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено
Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного
Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).
Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.