Как удалить событие в журнале событий в WinXP?

Здравствуйте.

Столкнулся с проблемой, вынуждающей меня удалить несколько записей событий из журнала событий WinXP.

1. Где можно взять прогу EventSave+ и EventCopy?
2. При использовании этих прог не будет ли нарушена цифровая подпись и контрольные суммы?
3. Может есть средство правки не в сохраненных файлах, а в самой винде?

Заранее спасибо. Буду очень благодарен за помощь.

PS. почему то при работе в Ulead DVD Workshop при создании менюшки на 2 минуты происходит укорачивание видео а звук остается двухминутным. глюк программы?

[WERVOOLF]

Интересными Вы вопросами занимаетесь! Аж самого заинтересовало! На счёт удаления одного события - подсказать не могу, а вот на счёт очистки всего журнала это EventSave, то что раскопал почитать можно здесь -

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Цитата:

Существенное отличие бесплатной EventSave от платной EventCopy в том, что она очищает журнал событий при каждом своём запуске. В остальном программы полностью идентичны.

Ссылка на саму прогу

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

У меня вообще весь журнал как корова языком слизала.
Есть ещё метод, я его толком не разобрал, что пишут здесь

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

А насчёт

Цитата:

почему то при работе в Ulead DVD Workshop при создании менюшки на 2 минуты происходит укорачивание видео а звук остается двухминутным. глюк программы?

Поподробнее, потому как не понял вопроса если честно. Что и как делаете и что не получаеться?

WERVOOLF

Очень рад, что вы обратили внимание на этот весьма интересный вопрос. Спасибо.

Первую ссылку я уже читал, когда пытался найти ответ, но все равно спасибо.

Что касается полной очистки журнала, то это может сделать и сама винда простым кликом, например, на: мой компьютер-управление-просмотр событий-система-"стереть все события".

С прогой EventSave я к счастью знаком, но вот "+" EventSave+ это более навороченная прога, судя по описанию на сайте производителя. Только она платная. И вроде как именно она и умеет вытаскивать в файл те события, которые сам считаешь нужным. Но пощупать эту прогу пока не удалось.

Указанный Вами второй метод хорош, только необходим он для удаленного копирования событий или копирования по признаку. И выходная информация не является бинарной. Спасибо в любом случае. :)

Вся загвоздка в том, что на выходе мне нужно получить двоичный файл .evt с удаленными несколькими записями. или из уже имеющегося файла .evt каким то образом удалить информацию о нескольких записях. :) Ответ все еще пытаюсь найти...


про Ulead DVD Workshop : делаю менюшку, в которую запихиваю ранее собранные и нарезанные кусочки видео и указываю путь к музыке. очень странно получается - в итоговом видео и музыке различная длинна воспроизведения

[WERVOOLF]

dea11, - Я пока тут лазил по всяким ссылкам, так почитал и вроде как умностей набрался...(шутю я). Смысл прочитанного заключался в следующем, что журнал этот таит в себе огромные возможности по отслеживанию всех событий на компьютере, вплоть до того, когда пользователь Косынку открыл или какую папку удалил. В том числе и кто что делал на удалённой машине или серваке. И защищает его Майкрософт очень сильно. Стандартными методами Вашу задачу - не решить. Считаеться что не фиг юзерам и даже админам там делать. Смотреть - пожалуйста. Доступ на редактирование возможен косвенными путями или же программами вроде EventSave.
Трёп про это был здесь

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Вот эта фенька вроде как официальный софт, есть неофициальная приблуда... Но все молчат как партизаны.
Есть интересный момент: -

Цитата:

Действия сохраняются в журнале событий, и имеют расширение *.evt....
Хотя если они отправляются на сервак то это бесполезно. Все равно они на столе у админа уже.

- Это про удаление записей.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Здесь же приведена интересная ссылочка на не официальный софт -
Сообщение #14 от eJay от
Feb 12 2005, 08:25 PM
В одной из ссылок нашёл замечание по поводу того, что вот что то похожее можно сделать на "Удаве" - кто это такой, или что это не знаю.... (Жалко ссылку потерял)
Также есть
PsTools 2.2 - Набор утилит для администрирования локального или удаленного компьютера. Включает в себя более десятка утилит, работающих из командной строки - запуск и закрытие процессов, информация о системе, доступ к записям журнала событий , перезагрузка и выключение компьютера, SID компьютера или пользователя и многое другое.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Поищите всё таки аналоги думаю, что нибудь подберёте. И насчёт логов...
Я просто давно начал интересоваться построением политики Майкросовт в области безопасности... И чем больше я читаю - тем страшнее мне становиться. Эта контора играет не честно!!!!! Для одних всё закрыто. Для других - всё открыто.
про Ulead DVD Workshop : - Там в менюшках можно задавать длительность как музыки, так и изображения и вместо фона менюшки класть любой файл, как AVI так и рисунок.
Для Ulead DVD Workhop 2 есть тема на форуме Ulead DVD Workhop 2 помогите разобратся в разделе То,что Доктор™ прописал! Pinnacle Studio - > Софт > Прочие NLE > Ulead

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

, там тоже можно поспрашивать.
С уважением /WERVOOLF.

[zett]

Незнаю как работают выше приведенные программы, но вручную чистить строки в журнале - геморой. Если на будущее хотите, то простой командой можно настроить размер журнала или чтобы происходила чистка через любое количество дней. По подробнее можно почитать здесь:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Вот для примера несколько вырезок из командного процессора:
Пример:

После запуска командной строки и ввода "cmd":
D:\Temp>wmic (------ набираем команду wmic-------)
(------------ запускаем WMI--------)
wmic:root\cli>NTEVENTLOG WHERE LogFileName="Application" SET MaxFileSize=65536 (--ввод команды)
Обновить свойства '\\PEN\ROOT\CIMV2:Win32_NTEventlogFile.Name="C:\\W INDOWS\\system32\\config\\AppEvent.Evt"' [Y(да)/N(нет)/?]? (-------------запрос на выполнение---------) -----при согласии произойдет изменение размера журнала.---------
---------------------------------
wmic:root\cli>NTEVENTLOG WHERE LogFileName="System" SET OverwriteOutDated=1 (---------- изменение количества дней хранения информации. По вышеприведенной ссылке ошибка - " System" (пробел после ковычек)---------.
Обновить свойства '\\PEN\ROOT\CIMV2:Win32_NTEventlogFile.Name="C:\\W INDOWS\\system32\\config\\SysEvent.Evt"' [Y(да)/N(нет)/?]?
----------------------
Для выхода из WMI набрать "Quit" (без ковычек).

[WERVOOLF]

zett, То, что Вы привели - интересно в качестве облегчения работы с журналом. А вот как действительно изменить или удалить одну из записей журнала? Конкретную строку, время, дата и.т.д. Даже обезьяну можно научить просматривать журнал с логами! Вот в чём фишка. А если эта запись может Вас каким либо образом компромитировать? К стати кристальная чистота журнала или хранение логов менее указанного админом времени - повод задуматься. И дело даже не в хакерстве, а иногда в том что начальство слишком многого хочет от подчинённых!!!!!!

[zett]

Я предупреждал про геморой. Пробуйте:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

. Если честно, то сам такие эксперементы не проводил (не было нужды).
Чтобы легче разобраться вот содержимое CMD:
Листинг:

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

D:\Temp>eventcreate /?

EVENTCREATE [/S <система> [/U <пользователь> [/P <пароль>]]] /ID <код_события>
[/L <журнал>] [/SO <источник>] /T <тип> /D <описание>

Описание:
Эта команда позволяет администратору создать запись об особом событии
в указанном журнале событий.

Параметры:
/S <система> Подключаемый удаленный компьютер.

/U [<домен>\]<пользователь> Пользовательский контекст, в котором
должна выполняться эта команда.

/P <пароль> Пароль для этого пользовательского
контекста.

/L <журнал> Журнал, в котором следует создать
событие.

/T <тип> Тип создаваемого события.
Допустимые типы: ERROR, WARNING, INFORMATION.

/SO <источник> Используемый источник для этого события.
Допустимым источником является любая
строка, представляющая приложение или
компонент, генерирующий это событие.

/ID <код_события> Код события для этого события.
Допустимым кодом события является любое
число в диапазоне от 1 до 1000.

/D <описание> Описание для создаваемого
события.

/? Вывод справки по использованию.


Примеры:
EVENTCREATE /T ERROR /ID 100
/L APPLICATION /D "Создание события в журнале приложений"

EVENTCREATE /T ERROR /ID 999 /L APPLICATION
/SO WinWord /D "новый источник Winword в журнале приложений"

EVENTCREATE /S system /T ERROR /ID 100
/L APPLICATION /D "компьютер без учетных данных пользователя"

EVENTCREATE /S system /U user /P password /ID 100 /T ERROR
/L APPLICATION /D "компьютер и учетные данные пользователя"

EVENTCREATE /S system /U domain\user /ID 100 /T WARNING
/SO MyBatchFile.cmd /D "ошибка сценария входа пользователя"

Добавлено через 8 минут
А можно узнать то что нужно удалить?

[WERVOOLF]

zett, Это надо спросить у dea11, У меня свои мысли. С одной стороны - борьба с обнаглевшими юзерами, с другой - защита тех же юзеров от начальства, да и себя тоже. За всем уследить нельзя. А списать на несовершенство технического оснащения и методов контроля - можно всё. Но главное - знать как и что!
zett, Прошу прощение за бестактность - Вы хорошо разбираетесь в скриптах?

[zett]

Ну если нужно скрыть следы работы, то существует множество способов сделать это. Самый простой способ - это поставить эмулятор работы в винде. После перегрузки как будто и не работал.
По поводу скриптов, если честно, то только со справочником.

Нужно это мне для того, чтобы, как верно заметил WERVOOLF, избежать возможных компроетирующих событий. :)

Вопрос то действительно интересный.

zett, на счет Вашей ссылки, - инетерсно, но снова как я понял про удаление записей с кодом выше 1000 там ни слова :) собственно именно его удалить и нужно :)

Кстати, нашел прогу EventMeister Event Log Monitoring Tool. В ней в отличии от стандартного виндовского фильтра (которым никак отсеить нельзя) есть возможность фильтровать по принципу "что не показывать" - это уже первый шаг к решению проблемы :) но загвоздка в том, что снова создаваемый файл журнала будет не того расширения - тхт, ексель и rss. Уже гораздо ближе к решению задачи, но еще не до конца.
Теперь надо научиться перекодировать rss в evt :)))

Добавлено через 57 минут
Спасибо всем. здача решается! :)

программкой на сайте http://www.eventlogxp.com/

Кстати EventMeister не помог, но все равно клевая софтинка

Event Log Explorer может настраивать удобные фильтры (а корявые не виндовские) и ! сохранять отфильтрованные логи снова в EVT !!!

Теперь ужасно хочется чтобы кто-нить это подтвердил. И еще, что на счет цифровой подписи и контрольных сумм? есть идеи?