Windows регистрирует практически все события, которые происходят, когда кто-то ее использует. Журнал не представляет особого интереса для обычного пользователя, но для тех, кто устраняет неполадки в приложении или имеет проблемы с запуском процесса, он очень полезен. Если вам когда-нибудь понадобится узнать, какой пользователь установил или удалил приложение в Windows, вам следует обратиться к журналу событий e. Вот что вам нужно сделать.
Для просмотра журнала вам потребуются права администратора. Щелкните правой кнопкой мыши «Этот компьютер» («Мой компьютер» в Windows 7) и выберите «Управление» в контекстном меню. Если будет предложено, предоставьте административное разрешение. Разверните «Системные инструменты»> «Просмотр событий»> «Журналы Windows» и выберите «Приложение».
Панель справа сначала будет пустой, поскольку Windows загружает зарегистрированные события. На секунду может показаться, что окно застыло, но подождите минутку. После загрузки вы увидите очень длинный список событий, который, очевидно, слишком много, чтобы просеивать его вручную.
Я скачал вирус на свой пк
Посмотрите на крайнюю правую панель и выберите опцию «Фильтровать текущий журнал» в разделе «Действия».
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Откроется новое окно с названием «Фильтр текущего журнала». Прокрутите вниз до раскрывающегося списка «Источники событий» и откройте его. Отметьте опцию MsiInstaler и нажмите Применить.
MsiInstaller — это служба, отвечающая за установку и удаление приложений в Windows. Если пользователь установил или удалил приложение, эта служба зарегистрировала бы событие. Список событий, которые вы увидите после применения фильтра, будет касаться исключительно установки и удаления приложений. Это небольшой список, который нужно просмотреть вручную. Если у вас есть приблизительное представление о том, когда произошла установка или удаление определенного приложения, вы можете указать диапазон дат в раскрывающемся списке «Зарегистрировано» в фильтре журнала.
Выберите запись в журнале и посмотрите на панель под ней, которая содержит подробную информацию о событии. Вы можете увидеть, какое приложение было удалено, дату и время, когда оно было удалено, а также пользователя, который его удалил.
У этого процесса есть недостаток; не все приложения устанавливаются через службу MsiInstaller, поэтому не все действия по установке / удалению будут регистрироваться здесь. Это работает в Windows 7 и выше.
Программы для поиска и удаления дубликатов файлов на компьютере или ноутбуке ️
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Источник: myroad.club
Windows логи удаления программ
Узнаем кто удалил или установил программу в Windows
Узнаем кто удалил или установил программу в Windows
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам. Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,
первое это событие с ID 1040 покажет вам начало установки программы: 
Далее идет сообщение с кодом ID 10000. 
Далее вы увидите событие, где заканчивается установка программы ID 1042 
Завершается сеанс событием с кодом ID 10001
И заканчивается установка программы событием с кодом ID 11707 
Иногда вы можете увидеть событие с ID 1033. 
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала» 
В источниках событий выберите из выпадающего списка пункт MsiInstaller. 
В итоге у меня получилось вот так. 
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор. Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM 
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Автоматизация оповещения по событиям 11707
- Адрес вашего SMTP сервера
- От кого будет письмо
- Кому отправлять письмо
- Пароль от ящика отправителя
В результате вы получите письмо вот такого содержания:
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.
Как найти события установки программ не методом MsiInstaller
Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.
Выглядит событие ID 7045 вот так:
Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Как узнать кто удалил программу с сервера или компьютера
По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.
Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.
Дополнительно
Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.
Заметаем следы: быстрая очистка всех журналов событий в Windows
В некоторых случаях требуется удалить на компьютере или сервере все записи в журнале событий Windows. Конечно, очистку системных журналов, можно выполнить и из графической оснастки просмотра событий — Eventvwr.msc (ПКМ по нужному журналу ->Clear Log), однако начиная с Vista, в Windows используется несколько десятков журналов для различных компонентов системы, и очищать их все из консоли Event Viewer будет довольно утомительно. Гораздо проще очистить логи из командной строки: с помощью PowerShell или встроенной утилиты wevtutil.
Очистка журналов событий с помощью PowerShell
В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog .
Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.
Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:
Clear-EventLog –LogName System
В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом « The System log file was cleared ».
Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:
Get-EventLog -LogName * | ForEach
Таким образом, будут очищены все классические журналы EventLogs.
Очистка журналов с помощью консольной утилиты WevtUtil.exe
Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe . Ее синтаксис немного сложноват на первый взгляд. Вот, к примеру, что возвращает help утилиты:
Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:
WevtUtil enum-logs
или более короткий вариант:
На экране отобразится довольно внушительный список имеющихся журналов.
Примечание . Посчитать их количество можно с помощью команды WevtUtil el |Measure-Object. В моем случае, в Windows 10 насчитывается 1053 различных журналов).
Можно получить более подробную информацию по конкретному журналу:
Очистка событий в конкретном журнале выполняется так:
Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:
WevtUtil cl Setup /bu:SetupLog_Bak.evtx
Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:
Get-WinEvent -ListLog * -Force | %
Wevtutil el | ForEach
Примечание . В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Стоит попробовать очистить содержимое этих журналов из консоли Event Viewer.
Очистка журналов может быть выполнена и из классической командной строки:
Источник: onecomp.ru
Как узнать, какой пользователь установил или удалил приложение в Windows
Windows регистрирует практически все события, которые происходят, когда кто-то ее использует. Журнал не представляет особого интереса для обычного пользователя, но для тех, кто устраняет неполадки в приложении или имеет проблемы с запуском процесса, он очень полезен. Если вам когда-либо понадобится узнать, какой пользователь установил или удалил приложение в Windows, вам следует обратиться к журналу событий e. Вот что вам нужно сделать.
Для просмотра журнала вам потребуются права администратора. Щелкните правой кнопкой мыши «Этот компьютер» («Мой компьютер» в Windows 7) и выберите «Управление» в контекстном меню. Если будет предложено, предоставьте административное разрешение. Разверните «Системные инструменты»> «Просмотр событий»> «Журналы Windows» и выберите «Приложение».
Панель справа будет сначала казаться пустой, поскольку Windows загружает зарегистрированные события. На секунду может показаться, что окно застыло, но подождите минутку. После загрузки вы увидите очень длинный список событий, который, очевидно, слишком много, чтобы просеивать вручную.
Как исправить проблемы с эскизами в Windows 10
Посмотрите на крайнюю правую панель и выберите опцию «Фильтровать текущий журнал» в разделе «Действия».
Откроется новое окно с названием «Фильтр текущего журнала». Прокрутите вниз до раскрывающегося списка «Источники событий» и откройте его. Отметьте опцию MsiInstaler и нажмите Применить.
MsiInstaller — это служба, отвечающая за установку и удаление приложений в Windows. Если пользователь установил или удалил приложение, эта служба зарегистрировала бы событие. Список событий, которые вы увидите после применения фильтра, будет касаться исключительно установки и удаления приложений. Это небольшой список, который нужно просмотреть вручную. Если у вас есть приблизительное представление о том, когда произошла установка или удаление определенного приложения, вы можете указать диапазон дат в раскрывающемся списке «Зарегистрировано» в фильтре журнала.
Как заставить слайд выключиться в Windows 10
Выберите запись в журнале и посмотрите на панель под ней, которая содержит подробную информацию о событии. Вы можете увидеть, какое приложение было удалено, дату и время, когда оно было удалено, а также пользователя, который его удалил.
У этого процесса есть недостаток; не все приложения устанавливаются через службу MsiInstaller, поэтому не все действия по установке / удалению будут регистрироваться здесь. Это работает в Windows 7 и выше.
Обновлено: 8 декабря 2020 г. в 11:30
Источник: toadmin.ru