معرفی مکانیزم تولید لاگ ETW در ویندوز و ابزار Logman
ETW (Event Tracking for Windows) یکی از مکانیزمهای تولید لاگ در سیستم عامل ویندوز است که امکان ردیابی جزئی (Detailed) رویدادهای تولید شده توسط سیستم عامل را فراهم میآورد. به بیان دیگر، ETW، لاگهایی است که به کاربر امکان عیب یابی و بررسی دقیق تر یک رخداد را میدهد.
برای درک بهتر نحوه عملکرد مکانیزم ETW، درک مفاهیم زیر ضروری است:
- Provider ها برنامههایی حاوی ابزار دقیق ردیابی رویداد (Event Tracing) هستند. پس از ثبت Provider ها، یک Controller میتواند ردیابی رویداد را در Provider فعال یا غیرفعال کند. به طور کلی، یک Provider فعال رویدادها را تولید میکند، در حالی که یک Provider غیرفعال این کار را نمیکند.
- Keyword به عنوان مکانیزم گروه بندی برای فیلتر کردن Consumer ها استفاده میشود.
- Consumer نشان دهنده برنامه هایی هستند که Trace Files / Sessions را میخوانند یا گوش میدهند.
- Tracing sessionرویدادهای یک یا چند Provider را ثبت میکند.
- Controller همانطور که از نامشان پیداست، مسئول کنترل هر یک از موجودیت های مرتبط با ETW هستند. از شروع و توقف Tracing session تا فعال و غیرفعال کردن Provider ها. یکی از Controller های شناخته شده ابزار داخلی “exe” میباشد.
Logman
“logman.exe” یک ابزار Command-Line در ویندوز است که نقش یک Controller را بازی میکند.
نکته ای که باید به آن توجه داشت این است که ویندوز با بیش از 1000 عدد Provider ثبت شده به طور پیش فرض و حداقل 12 عدد Event Tracing ارائه میشود. میتوان تمامی این موارد را با استفاده از logman فهرست کرد.
برای مشاهده لیست Provider های موجود در سیستم میتوان از دستور زیر استفاده کرد:
همچنین میتوان اطلاعات مربوط به هر Provider را مشاهده نمود.
همانطور که مشاهده میکنید، نتیحه اطلاعاتی مانند Keyword و Level میباشد. علاوه بر این، در اینجا بخش PID / Image وجود دارد که اطلاعاتی در مورد پراسس یا برنامه هایی که در حال حاضر با استفاده از این Provider ارسال میشوند را ارائه میدهد.
علاوه بر موارد ذکر شده، با استفاده از Logman میتوان:
- یک Trace session ایجاد کرد.
- اطلاعات Trace session را مشاهده کرد.
- Provider را از یک Trace session حذف کرد.
- یک Trace session را از بین برد.
برای پیکربندی مرکز عملیات امنیت چرا با گروه امنیتی سورین تماس نمیگیرید؟