Настройка Просмотра событий

9 мин

для отображения событий пассворка в просмотре событий (event viewer) необходимо дополнительно настроить права доступа для этого нужно открыть powershell от имени «администратора» с помощью контекстного меню пуск нажать правой кнопкой мыши на значке пуск в левом нижнем углу экрана выбрать «windows powershell (администратор)» из контекстного меню с помощью меню пуск нажать левой кнопкой мыши на значок пуск в левом нижнем углу экрана прописать powershell открыть powershell от имени «администратора» комбинацией — ctrl + shift + enter получить идентификаторы безопасности ( sid ) для учетных записей powershell $objuser = new object system security principal ntaccount("имя группы") $strsid = $objuser translate(\[system security principal securityidentifier]) $strsid value стандартные учётные записи iusr (sid s 1 5 17); iis iusrs (sid s 1 5 32 568); network service (sid s 1 5 20) получить настройку прав доступов с помощью cmd cmd wevtutil gl application > temp txt в выполняемой директории будет создан temp txt файл в файле temp txt отредактировать строку channelaccess убрать элементы, начинающиеся на (d;; и содержащие один из полученных sid ; каждый полученный sid вставить элементом в формате (a;;0x3;;;sid) ; пример для стандартных sid прописанных в конце строки channelaccess sid (a;;0x3;;;s 1 5 17)(a;;0x3;;;s 1 5 32 568)(a;;0x3;;;s 1 5 20) полная строка с стандартными идентификаторами безопасности (sid) channelaccess channelaccess o\ bag\ syd (a;;0x2;;;s 1 15 2 1)(a;;0xf0007;;;sy)(a;;0x7;;;ba)(a;;0x7;;;so)(a;;0x3;;;iu)(a;;0x3;;;su)(a;;0x3;;;s 1 5 3)(a;;0x3;;;s 1 5 33)(a;;0x1;;;s 1 5 32 573)(a;;0x3;;;s 1 5 17)(a;;0x3;;;s 1 5 32 568)(a;;0x3;;;s 1 5 20) изменить настройки прав доступа с помощью cmd cmd wevtutil sl application /ca\ o bag\ syd (a;;0x2;;;s 1 15 2 1)(a;;0xf0007;;;sy)(a;;0x7;;;ba)(a;;0x7;;;so)(a;;0x3;;;iu)(a;;0x3;;;su)(a;;0x3;;;s 1 5 3)(a;;0x3;;;s 1 5 33)(a;;0x1;;;s 1 5 32 573)(a;;0x3;;;s 1 5 17)(a;;0x3;;;s 1 5 32 568)(a;;0x3;;;s 1 5 20) после /ca подставить значение параметра channelaccess из temp txt в powershell выполнить следующий скрипт для корректного отображения php событий обратить внимание в переменной $eventsource прописать php номер версию , чтобы получить php версию, необходимо в powershell выполнить — php v в переменной $phpeventmessagefile прописать расположение php8 dll расширения, расположенного в корневой директории полученного при установке php powershell # определение переменных $eventsource = "php 8 3 19" $phpeventmessagefile = "c \program files\php8 3\php8 dll" $eventlogpath = "hklm \system\currentcontrolset\services\eventlog\application\\$eventsource" $typessupported = 7 \# проверка и создание ключа для источника событий if ( not (test path $eventlogpath)) { new item path "hklm \system\currentcontrolset\services\eventlog\application" name $eventsource force } \# настройка параметров для источника событий set itemproperty path $eventlogpath name "eventmessagefile" value $phpeventmessagefile type expandstring set itemproperty path $eventlogpath name "typessupported" value $typessupported type dword после выполненных действий в просмотре событий — журналы windows → приложение будут отображены события пассворка