В системах Windows NT/2000 сервис регистрации событий, известный как EventLog, производит набор файлов (с суффиксом .LOG - SECURITY. LOG, SYSTEM. LOG и APPLICATION. LOG), где он временно помещает информацию о зарегистрированных в системе и приложениях событиях, таких как вход пользователя в систему, нарушение управления доступом, сбои сервисов и т.д. Однако информация о событиях не остается в этих LOG-файлах. Каждый LOG- файл периодически автоматически перезаписывается Windows NT, а вся информация о событиях перемещается в главные файлы регистрации событий в системе - в файлы SECEVENT.EVT, SYSEVENT.EVT И APPEVENT.EVT, которые читаются администратором, использующим встроенное средство просмотра событий (Event Viewer) Windows NT (рис. 11.1) или инструмент анализа файлов регистрации другой фирмы.
Файл SECEVENT . EVT хранит события, относящиеся к безопасности, включая неудавшиеся попытки входа в систему и попытки обратиться к файлам без надлежащих разрешений (если система сконфигурирована так, чтобы их регистрировать). Файл SYSEVENT. EVT содержит события, связанные с функционированием системы, в том числе сбой драйвера или неспособность запустить сервис. Файл APPEVENT. EVT свидетельствует о событиях, которые связаны с приложениями, подобными базам данных, Web-серверам или пользовательским приложениям. На эти файлы, записываемые в определенном двоичном формате, и нацеливаются атакующие, чтобы скрыть свои следы. Часто мишенью становится файл SECEVENT. EVT, потому что атакующий хочет удалить события в системе безопасности, вызванные попытками получить доступ к системе.