ALBION – program dla Inspektora Bezpieczeństwa Teleinformatycznego

Inspektor bezpieczeństwa teleinformatycznego w celu analizy aktualnych dzienników zdarzeń w programie ALBION musi wczytać do programu plik zawierający logi zabezpieczeń, jest to plik z rozszerzeniem .evtx. W systemie Windows pliki dziennika zdarzeń znajdują się w folderze C:\Windows\System32\winevt\Logs\, ale Inspektor BTI nie ma uprawnień do dostępu do tego katalogu. Inspektor BTI nie widzie w ogóle dysku C i nie może go nawet otworzyć, nawet jakby mógł otworzyć dysk C: to i tak nie ma uprawnień do folderu z logami. Inspektor BTI z poziomu aplikacji Podgląd zdarzeń (eventvwr.msc) musi zapisać wszystkie zdarzenia do nowego pliku na pulpicie. Podgląd zdarzeń (Event Viewer) to wbudowane narzędzie diagnostyczne w systemie Windows za pomocą którego Inspektora BTI przegląda dzienniki zdarzeń. Nowo stworzony na pulpicie plik dziennika zdarzeń można normlanie otworzyć w programie ALBION.

Inspektor BTI w celu analizy aktualnych dzienników zdarzeń w programie ALBION musi wykonać następujące czynności:

Opis skrócony:

1. W narzędziu „Podgląd zdarzeń” Inspektor BTI zapisuje na pulpicie kopię dziennika zdarzeń Zabezpieczeń.
2. W ALBION Inspektor BTI otwiera zapisaną kopię dziennika zdarzeń w celu dokonania analizy.

Opis szczegółowy:

1. Otwórz Podgląd zdarzeń (eventvwr.msc) (wpisz w pole Wyszukaj „Podgląd zdarzeń” lub „eventvwr.msc”).
2. Rozwiń sekcję Dzienniki systemu Windows.
3. Kliknij prawym przyciskiem myszy na dziennik „Zabezpieczenia”.
4. Wybierz „Zapisz wszystkie zdarzenia jako”.
5. Może pojawić się komunikat o ograniczeniach. Klikamy „OK”.
6. Wpisujemy nazwę pliku np. „logiZabezpieczen” – będzie to nazwa pliku kopii dziennika zabezpieczeń, którą zapiszemy na pulpicie.
7. Wybieramy z lewej części okna „Pulpit”, może pojawić się komunikat o ograniczeniach, klikamy „OK”
8. W oknie zapisu klikamy „Zapisz”.
9. W oknie „Informacje o wyświetlaniu” wybieramy „Informacje o wyświetlaniu dla tych języków” i wybieramy „Polski”, klikamy „OK”.
10. Na pulpicie utworzy się kopia logów bezpieczeństwa o nazwie „logiZabezpieczen.evtx”.
11. Otwieramy program ALBION.
12. Klikamy „Wczytaj logi”. Może pojawić się komunikat o ograniczeniach, klikamy „OK”.
13. Wybieramy z pulpitu plik naszych logów „logiZabezpieczen.evtx”.
14. Klikamy „otwórz”. Czekamy na wczytanie danych.
15. Po wczytaniu danych, inspektor może analizować aktualne logi bezpieczeństwa w systemie niejawnym.

W systemie Windows pliki archiwalne dzienników zdarzeń tworzone są zawsze w tym samym folderze, w którym znajduje się aktywny plik dziennika. Domyślny folder dziennika zdarzeń to C:\Windows\System32\winevt\Logs\. Inspektor bezpieczeństwa teleinformatycznego nie ma uprawnień do dostępu do tego katalogu. Inspektor BTI nie widzie w ogóle dysku C i nie może go nawet otworzyć, nawet jakby mógł otworzyć dysk C: to i tak nie ma uprawnień do folderu z logami, w tym do plików archiwum. Nie wolno dawać Inspektorowi BTI uprawnień bezpośrednio do katalogu dzienników zdarzeń na dysku C: ze względów bezpieczeństwa systemu operacyjnego, jest to katalog systemowy z wrażliwymi danymi, zmiana uprawnień na tym katalogu może doprowadzić do błędów w dziennikach zdarzeń.

W standardowej konfiguracji systemu niejawnego pliki dziennika zabezpieczeń mają maksymalny rozmiar 1 GB, po osiągnięciu tego rozmiaru system operacyjny w katalogu C:\Windows\System32\winevt\Logs\ zamyka bieżący plik dziennika, robi z niego archiwum (backup) i zaczyna nowy plik dziennika. Ten nowy dziennik startuje „od zera”. Pliki archiwum zapisują się w tym samym katalogu co aktualny plik dziennika tj. C:\Windows\System32\winevt\Logs\ i mają nazwy np. Archive-Security-2026-01-06-12-30-15-123.evtx.

UWAGA:
W standardowej konfiguracji systemu niejawnego Inspektor BTI nie ma możliwości odczytu samodzielnie plików archiwalnych dzienników zdarzeń. Nie jest w stanie wykonywać kopii bezpieczeństwa tych dzienników (np. na zewnętrzny nośnik) oraz ich przeglądać poprzez „Podgląd zdarzeń”.

W jaki sposób Inspektor BTI może mieć dostęp do archiwalnych plików dziennika zdarzeń?

OPCJA nr 1 – nowy katalog na dysku widocznym dla Inspektora BTI

To rozwiązanie jest najbardziej prawidłowe pod względem bezpieczeństwa.

Opis skrócony:

1. Administrator systemu na dysku widocznym dla Inspektora BTI tworzy nowy katalog do którego będzie okresowo kopiował pliki z archiwami dzienników zdarzeń.
2. Inspektor BTI ma swobodny dostęp do tego katalogu i może przeglądać swobodnie archiwalne dzienniki zdarzeń.

Opis szczegółowy:

1. Administrator systemu tworzy na dysku widocznym dla Inspektora BTI nowy katalog np. F:\LogiWindows. Dysk F: jest widoczny dla Inspektora BTI, ukryty jest tylko dysk C:.
2. Administrator kopiuje pliki z archiwami zdarzeń Archive-*.evtx z katalogu C:\Windows\System32\winevt\Logs\ do stworzonego katalogu F:\LogiWindows.
3. Inspektor ma swobodny dostęp do plików archiwalnych dzienników zdarzeń. Może je odczytywać w Poglądzie zdarzeń a także w programie ALBION, może także wykonywać kopie tych dzienników na zewnętrzny nośnik.
4. Do katalogu należy dodać prawo dostępu dla grupy „Czytelnicy dzienników zdarzeń” – Modyfikacja.
5. Dodanie uprawnienia Modyfikacja pozwoli dla Inspektora BTI na samodzielny zapis plików dzienników zdarzeń do tego katalogu, np. wykonanie kopii aktualnego dziennika zdarzeń z poziomu „Podgląd zdarzeń”.

Poniżej przedstawiono jakie uprawnienia na katalogu „F:\LogiWindows” należy nadać:

1. Utwórz folder F:\LogiWindows (jeśli nie istnieje).
2. PPM na folder → Właściwości → zakładka Zabezpieczenia.
3. Edytuj → Dodaj → Zaawansowane → Znajdź teraz → W wyniku wyszukiwania wybierz „Czytelnicy dzienników zdarzeń”
(jeżeli nie ma tej grupy to w opcji „Wybierz ten typ obiektu” kliknij „Typy obiektów” i zaznacz „Grupy” – pozwoli to na wyszukiwanie grup)
kliknij → OK → OK.
4. Zaznacz w kolumnie „Zezwalaj”:
Modyfikacja (Modify)
(automatycznie zaznaczy też potrzebne składowe typu Read/Write).
5. Zastosuj / OK.

OPCJA nr 2 – zmiana całego katalogu dzienników zdarzeń

To rozwiązanie jest ryzykowne dla prawidłowego działania dzienników zdarzeń. Może wynikać z nadania złych uprawnień. Usługa Windows Event Log musi mieć możliwość zapisu/odczytu w nowej lokalizacji. Jeśli uprawnienia będą za słabe, pojawią się błędy. Na przykład gdy przenosisz logi do folderu, który ma dziedziczone uprawnienia „jak dla zwykłych danych” albo gdy przypadkiem usuniesz wpis dla EventLog. Może też pojawić się ryzyko „niedostępnej ścieżki”, np. dysk/wolumin startuje później przy starcie systemu i jest niedostępny.

Opis skrócony:

1. Administrator systemu zmienia katalog zapisu bieżących i archiwalnych dzienników zdarzeń.
2. Inspektor ma bezpośredni dostęp do tego katalogu i może przeglądać swobodnie archiwalne dzienniki zdarzeń.

Opis szczegółowy:

Jak zmienić lokalizację zapisu dzienników zdarzeń?

1. Otwórz Podgląd zdarzeń (eventvwr.msc) z uprawnieniami administratora.
2. Rozwiń sekcję Dzienniki systemu Windows.
3. Kliknij prawym przyciskiem myszy na interesujący Cię dziennik (np. Zabezpieczenia) i wybierz Właściwości.
4. W polu Ścieżka dziennika wpisz nową lokalizację na innym dysku, np.: F:\LogiWindows\Zabezpieczenia.evtx
5. Upewnij się, że zaznaczona jest opcja Archiwizuj dziennik po zapełnieniu, nie nadpisuj zdarzeń.
6. Kliknij OK. System zapyta, czy chcesz przenieść obecny plik w nowe miejsce – zatwierdź to.

Kluczowy krok: Uprawnienia do nowego folderu.
Aby system mógł zapisywać logi, a Twój użytkownik mógł je otwierać, musisz
nadać odpowiednie uprawnienia NTFS dla nowego folderu (np. F:\LogiWindows):

1. Musisz dodać użytkownika specjalnego Usługa Zdarzenia
systemu Windows (znanego również jako NT SERVICE\EventLog) i nadać mu uprawnienie
„Pełna kontrola”. Bez tego system nie będzie mógł utworzyć pliku archiwum!
2. Dodaj grupę Czytelnicy dzienników zdarzeń (lub konkretnego użytkownika) i nadaj uprawnienie „Odczyt i wykonanie”.
3. Na katalogu powinni być z pełną kontrolą: NT SERVICE\EventLog, SYSTEM, Administrators