Dmi event log space full что это
Event Log
Другие идентичные по назначению опции: Event Logging, Event Log Capacity.
Опция Event Log относится к категории опций, предназначенных для настройки журнала событий BIOS. Обычно данная опция позволяет включить или выключить этот журнал.
Принцип работы
Далеко не всегда наши компьютеры работают безупречно, как часы, и нередко возникают такие ситуации, когда пользователю ПК приходится иметь дело с той или иной неисправностью, связанной с аппаратной частью компьютера или с его программным обеспечением. И в подобных ситуациях зачастую трудно обойтись без такой вещи, как журнал событий (Event Log).
Журнал (лог) событий является важным инструментом, позволяющим пользователю или системному администратору разобраться в причинах произошедшей неполадки и впоследствии устранить ее. Данный журнал представляет собой комплекс записей, расположенных в хронологическом порядке и описывающих важные события, происходящие в системе.
Большинству опытных пользователей операционных систем семейства Windows, наверное, знакома программа просмотра событий этой операционной системы (Event Viewer), в которой отображаются самые важные вещи, происходящие во время работы ОС, такие, как запуск приложений, события, связанные с безопасностью, а также возникающие в ходе работы ОС ошибки. В случае возникновения проблем в функционировании операционной системы анализ этого журнала поможет выявить причину возникновения неисправности и устранить ее.
Тем не менее, далеко не все пользователи персонального компьютера, наверное, знают о том, что некоторые материнские платы также оснащены возможностью вести и записывать в память лог событий, связанных с аппаратной частью компьютера. В частности, в лог могут записываться события, происходящие во время процедуры проверки работоспособности отдельных элементов компьютера (процедуры POST). Эта функция может быть полезной как для обычных пользователей, так и для системных администраторов. В том случае, если во время процедуры POST возникают ошибки, то далеко не всегда пользователь имеет возможность увидеть соответствующее сообщение об ошибке на экране. А при использовании лога пользователь может просмотреть необходимую запись в BIOS и определить причину неисправности.
Включение функции записи лога событий осуществляется при помощи выбора варианта Enabled, а выключение – при помощи выбора варианта Disabled. Также в BIOS обычно присутствуют и другие опции, позволяющие работать с журналом, например, осуществлять его просмотр или очистку.
Стоит ли включать опцию?
Ответ на данный вопрос зависит исключительно от ваших предпочтений. В большинстве случаев журнал событий может быть полезен пользователю или системному администратору, как эффективный инструмент для анализа и исправления возникших аварийных ситуаций, поэтому лучше всего будет включить данную опцию.
BIOS Phoenix
Для доступа в BIOS Phoenix ноутбука Samsung NP300E5C-U06RU удерживаем клавишу F2, при загрузке операционной системы.
Первая закладка SysInfo в SAMSUNG BIOS Configaration.
BIOS Phoenix разблокируется одновременным нажатием Ctrl+Shift+Alt+F4, но сначала надо войти в BIOS удерживая клавишу F2. Далее, нажимаем комбинацию (Ctrl+Shift+Alt+F4) после входа в стандартный BIOS, идём в закладку Exit и видим дополнительные вкладки Plaftform Advanced и Samsung Debug:
Exit > Platform Advanced > Advanced Settings.
Exit > Platform Advanced > ACPI Configuration.
Прокручиваем страницу Processor Power Management вниз: C3-State (Enabled), C6-State (Enabled), C7-State (Enabled), C7s-State (Disabled), C7r-State (Disabled), C-State Auto Demotion (C1 and C3), Cpu C1C3 UnDemotion Enable (Enabled).
Exit > Platform Advanced > Peripheral Configuration. Страница содержит три пункта: Spread Spectrum Clock (Disabled), PCIe SR-IOV Support (Disabled), Turn off unused PCI/PCIe clocks (Disabled).
Exit > Platform Advanced > HDD Configuration > Software Feature Mask Configuration. Страница HDD Configuration содержит два пункта: HDD Unlock (Enabled) и LED Locate (Enabled).
Exit > Platform Advanced > System Agent (SA) Configuration. Страница содержит три закладки: DMI Settings, Graphics Configuration, PEG Port Configuration, и один пункт: Debug Align (Disabled).
Доступен выбор следующих поколений PCIe: Gen1, Gen2 и Gen3.
Прокручиваем страницу ниже:
Exit > Platform Advanced > South Bridge Configuration > SB Security Config. Страница содержит пять пунктов: GPIO Lockdown (Disabled), RTC Lock (Enabled), BIOS Lock (Disabled), BIOS Region Protect (Disabled), SMM LOCK (Enabled).
Exit > Platform Advanced > Network Configuration. Страница содержит три пункта: LAN OPROM Selection (Enabled), Wake on PCH LAN (Enabled), ASF Support (Enabled).
Exit > Platform Advanced > LPC Configuration. Страница содержит два пункта: Onboard UART1 (Enabled), Onboard CIR(UART2) (Disabled).
Exit > Platform Advanced > SMBIOS Event Log. Страница содержит следующие пункты: Event Log Validity (Valid), Event Log Capacity (Space Available), Event Log (Enabled), View SMBIOS event log (Enter), Mark SMBIOS events ar read (Enter), Clears SMBIOS events (Enter).
Exit > Platform Advanced > ME Condiguration. Страница содержит следующие пункты: ME FW Version (версия прошивки), ME Firmware (объём прошивки), Intel ME (Enabled), ME FW Downgrade (Disabled), ME Febug Event Service (Disabled), MDES for BIOS (Disabled), ME IFR Feature (Enabled).
Exit > Thermal Configuration > CPU Thermal Configuration.
Страница CPU Thermal Configuration содержит следующие пункты: Thermal Monitor (Enabled), Bi-directional PROCHOT# (Enabled), PROCHOT# OUT (Disabled), ACPI 3.0 T-States (Disabled), DTS (Disabled).
Thermal Configuration > Platform Thermal Configuration.
Страница Platform Thermal Configuration содержит следующие пункты: Automatic Thermal Reporting (Enabled), Active Trip Point Hi Fan (71C), Active Trip Point Lo Fan (55C), Passive TC1 Value (1), Passive TC2 Value (5), Passive TSP Value (10).
Раздел PCH Thermal Device: Thermal Sensor Device Enable (Disabled), PCH Temp Read Enable (Enabled), CPU Energy Read Enable (Enabled), CPU Temp Read Enable (Enabled), CPU2 Temp Read Enable (Disabled), TS On Dimm Enable (Disabled), Alert Enable Lock (Disabled), ME SMBus Thermal Reporting (Disabled).
Thermal Configuration > DPTF.
Страница DPTF содержит один пункт: DPTF (Disabled).
Exit > Platform Advanced > Intel Rapid Start Technology. Страница содержит один пункт: iRST Support (Disabled).
Exit > Platform Advanced > Intel Smart Connect Technology. Страница содержит один пункт: ISCT Configured (Disabled).
Exit > Boot Features.
Страница Date and Time содержит следующие пункты: Quick Boot (Disabled), Diagnostic Splash Screen (Disabled), Diagnostic Summary Screen (Disabled), BIOS Level USB (Disabled), Console Redirection (Disabled), Allow Hotkey in S4 resume (Disabled), Legacy Boot (Enabled), Boot in Legacy Video Mode (Disabled), Load OPROM (On Demand).
Exit > Samsung Debug.
Страница Debug Menu содержит два пункта: Low Voltage Mode (Enabled) и Always Low Voltage Mode (Disabled).
метки: patriot psd34g16002s, как узнать какой ssd подойдет для ноутбука, samsung np300e5c, как узнать какая sata 2 или sata 3 стоит на компьютере, sata 1 sata 2 и sata 3 в чем разница, как узнать есть ли разъем для ssd m2 в ноутбуке, espada ss12 переключатель в какое положение, espada ss12 купить, intel hm75 express sata, intel hm75 express bios, intel hm75 express характеристики, скачать bios samsung.
Журналирование Windows EventLog и система оповещения для администраторов
Некоторое количество времени(года три) назад, в попытке найти способ экспорта Windows EventLog, была найдена возможность в удобном виде осуществлять аудит различных событий происходящих на сервере.
Microsoft своими «добрыми» технологиями сделала Windows практически несовместимым со штатными системами журналирования событий(syslog), но оставила небольшую лазейку которую можно использовать.
Лазейка представляет собой комбинацию SNMP trap и программы экспорта системных событий evntwin.
Для работы связки нужен настроенный snmptrapd, а также активированный сервис SNMP на windows сервере (добавляется через «добавление/удаление компонентов»).
Первым делом нужно настроить сервер на который будут сбрасываться сообщения из Eventlog. 
После того как сервис настроен, запускаем программу evntwin.exe
technet.microsoft.com/en-us/library/cc759390%28WS.10%29.aspx
Как она выглядит видно на следующем скриншоте.
Принцип использования evntwin прост. Вы выбираете категорию и код события которые Вас интересуют и добавляете их в список. При наступлении события сообщение одновременно будет сохранено в EventLog, а также будет «трапнуто» на сервер мониторинга.
На сервере мониторинга в snmptrapd.conf нужно добавить строку обработчика.
Сам обработчик написан мной на perl, код можно взять по ссылке trapd.pl(Не рекомендуется копипастить подсвеченный код из поста, лучше взять по ссылке). Он разбирает входящие trap сообщения и формирует письмо администраторам.
Hostname: bdc.mydoman.ru
Source: UDP: [192.168.0.3]:1081
Change Password Attempt:
Target Account Name:pupkin_v
Target Domain:MYDOM
Target Account ID:%
Caller User Name:pupkin_v
Caller Domain:MYDOM
Caller Logon ID:(0x0,0x39B1BD)
Hostname: sadc.mydomain.ru
Source: UDP: [192.168.0.4]:1074
User Account Locked Out:
Target Account Name:ivanov_v
Target Account ID:%
Caller Machine Name:MX
Caller User Name:SADC$
Caller Domain:MYDOM
Caller Logon ID:(0x0,0x3E7)
Hostname: sadc.mydomain.ru
Source: UDP: [192.168.0.4]:1072
Logon Failure:
Reason:Unknown user name or bad password
User Name:Popov_V
Domain:MYDOM
Logon Type:3
Logon Process:Advapi
Authentication Package:Negotiate
Workstation Name:SADC
Caller User Name:SADC$
Caller Domain:MYDOM
Caller Logon ID:(0x0,0x3E7)
Caller Process ID:580
Source Network Address:192.168.0.20
Source Port:36018
Так как мы подписаны только на интересующие нас сообщения, мы не видим остального системного мусора из EventLog.
Очень удобна данная система при вирусных эпидемиях типа Kido, когда сразу нельзя понять откуда пошло всё размножаться или при брутфорсе системных паролей. Потому что чётко виден Logon Failure и имя машины с которой была неудачная попытка.
Спокойной Вам работы.
PS: готовый конфиг с представленными на скриншоте категориями лежит тут
12 полезных примеров команд dmidecode для администратора Linux
12 полезных примеров команд dmidecode для администратора Linux
Dmidecode — это инструмент или команда, которая используется для получения полезной информации об аппаратных компонентах вашей системы в удобочитаемом формате. Dmidecode доступен для всех Linux-подобных систем (RHEL, CentOS, Debian и SUSE). Расшифровывается Dmidecode как декодер таблицы DMI (Desktop Management Interface), поскольку название предполагает, что он считывает данные из таблицы DMI и представляет нам в удобочитаемом формате. Таблица DMI содержит сведения об аппаратном обеспечении системы, такие как BIOS, серийный номер, ОЗУ (DIMM), сведения о процессоре и т. Д., Кроме этого dmidecode может также получить сведения о максимальной поддерживаемой конфигурации системы (например, DIMM и процессоры и т. Д.).
В этой статье мы постараемся охватить 12 полезных примеров dmidecode для систем Linux.
Пример 1) Общие сведения о выводе команды dmidecode
Когда мы запускаем команду dmidecode, она отображает вывод на экране, в выводе у нас есть записи, каждая запись имеет 4 разных значения.
Запустим команду dmidecode,
Пример 2) Различные типы DMI, используемые в команде dmidecode
Ниже приведены типы DMI, которые используются в команде dmidecode.
Пример 3) Отображение информации об оборудовании с использованием идентификатора типа
В команде dmidecode мы можем использовать ключевое слово или идентификатор типа для получения информации об оборудовании системы. В примере 2 мы уже указали ключевое слово и его идентификатор типа. предположим, что мы хотим отобразить информацию о кеше вашей системы, тогда мы можем запустить любую из приведенных ниже команд,
Пример 4) Отображение информации о BIOS
Выполните команду ниже dmidecode, а затем введите bios в качестве типа
Пример 5) Отображение аппаратной информации о шасси
Выполните следующую команду dmidecode, чтобы отобразить информацию о шасси.
Пример 6) Отображение аппаратной информации о основной плате
Выполните следующую команду dmidecode, чтобы отобразить информацию об аппаратном обеспечении вашей системной платы,
Пример 7) Отображение информации об оборудовании вашей системы
Чтобы отобразить информацию об оборудовании (производитель, название продукта, серийный номер и т. Д.) О вашей системе, выполните следующую команду dmidecode,
Пример 8) Отображение информации об установленной физической памяти и модулях DIMM
Чтобы отобразить информацию об установленной физической памяти (ОЗУ), выполните следующую команду
В приведенных выше выходных данных команды мы можем легко найти расположение DIMM, серийный номер RAM, тип и его скорость.
Используйте команду ниже dmidecode, чтобы найти максимальную физическую память, поддерживаемую вашей системой,
Пример 9) Отображение аппаратной информации о процессоре (или разъемах ЦП)
Выполните приведенную ниже команду dmidecode, чтобы отобразить аппаратную информацию о процессоре или сокетах ЦП.
Пример 10) Отображение информации об ошибке 64-битной памяти
Чтобы отобразить информацию об ошибке 64-битной памяти вашей системы, выполните команду dmidecode, расположенную ниже,
Пример 11) Вывести вывод команды dmidecode в шестнадцатеричном формате
Примечание: опция dump в команде dmidecode становится очень удобной в сценариях отладки
Пример 12) Отображение версии dmidecode
Используйте приведенную ниже команду dmidecode, чтобы отобразить ее версию
Это все из этой статьи. Если вы хотите узнать больше о команде dmidecode, обратитесь к ее странице руководства. Пожалуйста, поделитесь своими отзывами и комментариями.
Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.
Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.
Журнал событий безопасности (Security Log)
Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.
Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.
Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.
Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.
Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.
Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.
Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.
Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.
Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:
Системный монитор (Sysmon)
Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.
Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?
Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.
Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.
Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.
Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.
А теперь то, чего в политиках Security Log нет, но есть в Sysmon:
Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.
Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.
Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.
События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\\.\”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.
Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.
Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.
Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.
Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).
Журналы Power Shell
Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.
Windows PowerShell log
Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.
Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)
Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.
Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.
Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.
Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.