Где посмотреть и как читать логи с ошибками сервера

Zerox Обновлено: 28.12.2018 ELK Stack, Windows 24 комментария 12,304 Просмотры

Что делать, если компьютер пишет «служба клиент групповой политики... »

К сожалению, однозначно диагностировать причину возникновения данной проблемы практически невозможно, поэтому целесообразно сразу приступить к поиску подходящего метода ее устранения, используя всем известный "метод перебора".

Вариант 1

Если проблема касается какой-то конкретной учётной записи и минует все остальные (т.е. с другим логином и паролем юзер может спокойно пользоваться системой), то следует предпринять следующие действия:

  • Для начала не лишним будет проверить систему на наличие ошибок: сделать это можно командой «sfc/scannow».
  • Далее нажмите комбинацию клавиш «WIN+R» и введите и выполните команду «regedit».
  • В открывшемся окне редактора реестра перейдите по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList».
  • В папке «ProfileList» будут находиться все актуальные учётные записи: найдите проблему, просматривая каждую папку и обращая внимание на файл «ProfileImagePath», значение которого содержит наименование проблемной учётной записи и путь её нахождения. Проверьте, соответствует ли указанный там путь действительному.
  • У папки, где хранятся данные о "проблемной" учётной записи, имя будет «» (примерное содержание).
  • Соответственно, переименуйте данную папку (удалив расширение «.bak»), и перезагрузите компьютер для вступления в силу всех изменений.

Если данный метод не решил проблему со входом в систему Windows, переходим к следующему варианту.

Вариант 2

Второй способ заключается в создании новой учётной записи и в переносе из неё определённого файла в проблемную учётную запись. Для этого потребуется:

Возможна ситуация, когда после выбора данных параметров не произойдёт ровным счётом ничего — это может указывать на наличие вирусной активности в системе, что и могло, в конечном итоге, привести к возникновению рассматриваемой проблемы.

  • Здесь же, в Безопасном режиме, откройте «Панель управления» — «Учётные записи пользователей» — «Управление другой учётной записью».
  • Кликните по кнопке «Создание новой учётной записи», укажите имя и обязательно наделите новую учётную запись правами администратора.

В завершение нажмите «ОК» и перезагрузите компьютер.

Далее на этапе выбора учётной записи обратите внимание на только что созданную учётку и дождитесь завершения настройки рабочего стола, после чего потребуется:

Вариант 3

Данный способ по смыслу и конечному результату схож с вышепредложенным, но подразумевает выполнение некоторых альтернативных шагов.

Итак, вариант №3 можно применить даже в том случае, если пользователю не удаётся зайти в Безопасный режим.

Для его осуществления может потребоваться загрузочный носитель с образом операционной системы (если не удастся использовать встроенные средства восстановления системы).

  • Включите компьютер, нажмите и удерживайте клавишу «F8» до появления окна «Дополнительные варианты загрузки».
  • В открывшемся списке возможных сценариев выберите раздел «Устранение неполадок компьютера».
  • В первых шагах системой будет предложено выбрать язык и раскладку клавиатуры, а также ввести логин и пароль учётной записи администратора.
  • После ввода и подтверждения данных появится окно «Параметры восстановления системы», в котором необходимо выбрать последнюю строку «Командная строка».
  • Перед вами откроется консоль, в которой выполните две команды: «net user UserName /add» и «net localgroup администраторы UserName /add» (в зависимости от ОС может потребоваться ввести вторую команду полностью на английском, то есть «net localgroup administrators username /add»).

Далее необходимо повторить действия по копированию файла «», подробно описанные в предыдущем методе устранения неисправности.

Вариант 4

Заключительный способ — хороший альтернативный вариант в тех ситуациях, когда проблемная учётная запись является административной.

Первые шаги выполняются аналогично: требуется запустить командную строку, лучше если сделать это через средства восстановления системы.

После запуска командной строки и открытия консоли необходимо выполнить команду «secedit /configure /cfg %windir%\inf\ /db /verbose», предназначение которой в сбросе локальной политики безопасности Windows.

Утилита «PsExec»

Временно остановить сервис «gpsvc», отвечающий за параметры сервиса «Клиент групповой политики», поможет утилита «PsExec», позволяющая выполнять команды на удаленном компьютере. Она не требует установки, достаточно скопировать загрузочный файл программы в системную папку «System 32» и запустить его через командную строку. Для отключения службы «gpsvc» необходимо:

  • воспользовавшись утилитой «PsExec», запустить командную строку от учетной записи администратора;
  • ввести команду следующего вида «net stop gpsvc»;
  • сервис будет остановлен.

Не стоит забывать, что это временная мера. При перезагрузке системы сервис «gpsvc» вновь запустится. Для полного его отключения потребуется изменить параметры запуска, что потребует обязательной правки реестра.

Dashboard в Kibana для Windows Server

После того, как данные из логов windows серверов начали поступать в elk stack, можно приступить к их визуализации. Я предлагаю такую информацию для Dashboard в kibana:

  • Количество логов с разбивкой по серверам
  • Количество записей в каждом журнале
  • Разбивка по уровням критичности (поле level)
  • Разбивка по ID событий в логах (поле event_id)
  • Список имен компьютеров, фигурирующих в логах (поле event_)
  • Список пользователей в логах (поле event_)
  • Разбивка по IP адресам (поле event_)

Визуализации создаются достаточно просто, плюс они все похожи друг на друга. Вот пример одной из них — разбивка по рабочим станциям:

А вот какой Dashbord у меня получился в итоге:

В самом низу идет список логов с сырым текстом события. Отдельно представляю дашборд для файлового сервера windows.

Создание файла настроек

Теперь перейдем к содержимому файла настроек .

Вначале приведем пример файла настроек:

<config xmlns="-log"> <dump location="c:\1c_info\dumps" create="1" type="3"/> <log location="c:\1c_info\logs" history="48"> <event> <eq property="name" value="EXCP"/> </event> <event> <eq property="name" value="PROC"/> </event> <event> <eq property="name" value="ADMIN"/> </event> <event> <eq property="name" value="EXCPCNTX"/> </event> <property name="all"> </property> </log> </config>

123456789101112131415161718

<dump>

Этот элемент отвечает за формирование дампов памяти. Атрибуты:

location — каталог в который будут сохраняться дампы, значение этого атрибута должно отличаться от значений такого же атрибута у других элементов (<log> и <defaultlog>).

create — записывать (1) или не записывать (0) дампы.

type — тип дампа, любая комбинация (сумма) из перечисленных ниже флажков:

  • 0 — минимальный;
  • 1 — дополнительный сегмент данных;
  • 2 — содержимое всей памяти процесса;
  • 4 — данные хэндлов;
  • 8 — оставить в дампе только информацию, необходимую для восстановления стеков вызовов;
  • 16 — если стек содержит ссылки на память модулей, то добавить флажок флаг 64;
  • 32 — включить в дамп память из-под выгруженных модулей;
  • 64 — включить в дамп память, на которую есть ссылки;
  • 128 — добавить в дамп подробную информацию о файлах модулей;
  • 256 — добавить в дамп локальные данные потоков;
  • 512 — включение в дамп памяти из всего доступного виртуального адресного пространства.

Компания «1С» советует использовать значение 3 (1+2), так как в большинстве случаев этого достаточно.

<log>

Этот элемент определяет каталог тех. журнала и события которые в него попадают. Таких элементов может быть несколько т.е. сервер 1С может вести сразу несколько тех. журналов с различными настройками. Тем не менее компания «1С» не рекомендует вести более 20 тех. журналов одновременно, так как это может замедлить работу системы. Может содержать внутри себя элементы <event> и <property>. Атрибуты:

location — каталог в который будут записываться логи, этот каталог должен быть пустым, кроме этого он не должен совпадать со значениями аналогичных атрибутов у других элементов.

history — время жизни логов, в часах.

<event>

Определяет условия, при выполнении которых событие попадает в журнал. Само условие задается следующими элементами:

  • eq — равно;
  • ne — не равно;
  • gt — больше;
  • ge — больше или равно;
  • lt — меньше;
  • le — меньше или равно;
  • like — соответствие маске.

<property>

Определяет условия попадания в журнал значения свойства события.

Элемент <property name=»all»> </property> включает записи в журнал всех свойств событий.

В статье упоминаются далеко не все элементы конфигурационного файла, а те, что все-таки упоминаются, рассмотрены поверхностно. Самое полное описание всех элементов конфигурационного файла, с примерами, советами и пояснениями имеется на сайте ИТС (ссылка), а также в руководстве администратора.

Руководство администратора (желтая, не очень толстая книжечка) можно легко найти в электронном виде, да и бумажном оно встречается достаточно часто, так как входит во многие поставки продуктов компании 1С.

На этом все, надеюсь эта статья была Вам полезна.

Если Вы нашли ошибку или неточность, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Оценка статьи: (оценок: 4, средняя оценка: 4,00 из 5)

Как читать логи. Пример

Существует довольно много форматов записи, combined — один из наиболее распространенных. В нем строчка кода может выглядеть так:

%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"

Директивы имеют следующее значение:

  • %h — IP-адрес, с которого был сделан запрос;
  • %l — длинное имя удаленного хоста;
  • %u — удаленный пользователь, если запрос был сделан аутентифицированным юзером;
  • %t — время запроса к серверу и его часовой пояс;
  • %r — тип и содержимое запроса;
  • %s — код состояния HTTP;
  • %b — количество байт информации, отданных сервером;
  • %{Referer} — URL-источник запроса;
  • %{User-Agent} — HTTP-заголовок.

Еще один пример чтения логов можно посмотреть в статье «Как читать логи сервера».

Опытные веб-мастера для сбора и чтения лог-файлов используют программы-анализаторы. Они позволяют читать логи сервера без значительных временных затрат. Вот некоторые из наиболее востребованных:

  • Analog. Один из самых популярных анализаторов, что во многом объясняется высокой скоростью обработки данных и экономным расходованием системных ресурсов. Хорошо справляется с объемными записями, совместим с любыми ОС.
  • Weblog Expert. Программа доступна в трех вариациях: Lite (бесплатная версия), Professional и Standard (платные релизы). Версии отличаются функциональными возможностями, но каждая позволяет анализировать лог-файлы и создает отчеты в PDF и HTML.
  • SpyLOG Flexolyzer. Простой аналитический инструмент, позволяющий получать отчеты с высокой степенью детализации. Интегрируется c системой статистики SpyLOG, позволяет решать задачи любой сложности.

Трюк Используем исключения

Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:

  • на программы, запущенные от имени учетной записи SYSTEM;

  • драйверы и другие приложения уровня ядра;

  • макросы внутри документов Microsoft Office;

  • программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).

Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.

Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:

Sub GOSHELL () Shell «C:», vbNormalFocus End Sub

В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Adblock
detector