Ошибка код события 512

Содержание

Диагностика медленной загрузки Windows с помощью журнала событий

Сегодня в моем блоге авторский дебют участника конференции OSZone в серию материалов об ускорении загрузки Windows и ее диагностике.

Иногда мы замечаем, что операционная система стала загружаться дольше обычного. Если это эпизодический случай, повода для беспокойства нет. Но когда данное явление приобретает систематический характер или прогрессирует, тут уже стоит задуматься о причинах такого «странного» поведения системы. В этой статье мы рассмотрим один из способов диагностики причин длительной загрузки Windows, используя ее штатное средство – журнал «Просмотр событий». Быстрый доступ к этому инструменту обеспечивает нажатие сочетания клавиш Win+R и последующий ввод команды: eventvwr. msc /s.

На этой странице:

Фильтруем журнал событий

В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).

Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.

Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.

Диагностика загрузки с помощью журнала событий

Рисунок 3

Диагностика загрузки с помощью журнала событий

Рисунок 4

Узнаем продолжительность загрузки

Чтобы выяснить, сколько Windows требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки (рис. 5).

Из рисунка видно, что длительность самой первой загрузки моей Windows (дата ее установки) по состоянию на 15 марта 2010 года составила 44 498 миллисекунд — или, если разделить на 1000, примерно 45 секунд. Для первого запуска этот показатель нормальный, поскольку после установки система выполняет целый ряд задач: устанавливает драйверы, инициализирует программы в автозагрузке, настраивает профиль пользователя и так далее.

По состоянию на 30 января 2011 года время загрузки возросло, и составило 115652 ms, т. е. почти 2 минуты. Это много.

Настраиваемое представление «Время загрузки» предоставляет информацию обо всех случаях загрузки системы за время ее существования. Иногда загрузка затягивается по вполне объяснимым причинам — из-за установки обновлений, драйверов или программного обеспечения.

На вкладке «Подробности» процесс загрузки описывается во всех деталях, однако для анализа продолжительности загрузки достаточно будет только трех параметров на вкладке «Подробности» (рис 6).

Рассмотрим суть значений этих параметров подробнее.

И наконец, мы подошли к самому важному и интересному.

Диагностируем медленную загрузку

Чтобы выяснить причину замедления загрузки Windows, выделите фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» и отсортируйте столбец «Код события» (Event ID) по возрастающей. Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.

Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.

У меня, например, обнаружились два события. Одно с кодом ID 108 :

Другое с кодом 109:

Столь маленькое время задержки на рисунках 7 и 8 не трагично, они приведены тут лишь для наглядности.

Проведенный таким образом анализ и элементарные навыки пользования поиском в сети Интернет, позволят вам составить представление о причинах увеличения времени загрузки операционной системы.

Об авторе

Phoenix помогает участникам конференции OSZone. net в форумах клиентских операционных систем.

Вас также может заинтересовать:

Я в Telegram

Подпишитесь на канал и читайте интересные записи чаще! Есть вопросы? Задайте их в чате.

комментариев 14

здравствуйте! а как понять код 110?вот этот код
Имя журнала: Microsoft-Windows-Diagnostics-Performance/Operational
Источник: Microsoft-Windows-Diagnostics-Performance
Дата: 25.09.2011 8:50:49
Код события: 110
Категория задачи:Контроль производительности при загрузке
Уровень: Критический
Ключевые слова:Журнал событий
Пользователь: LOCAL SERVICE
Компьютер: константин-ПК
Описание:
Инициализация диспетчера сеанса вызвала замедление процесса запуска:
Имя : SMSSInit
Общее время : 71986мс
Время замедления : 63281мс
Время события (UTC) : ‎2011‎-‎09‎-‎24T21:47:54.640400300Z
Xml события:

110
1
1
4002
33
0x8000000000010000

2011-09-24T21:47:54.640400300Z
9
SMSSInit
71986
63281

Ваша оценка: Thumb up Thumb down-1

kostan, см. Фаза SMSSInit — там описана диагностика. Если не можете решить проблему самостоятельно, выполняйте требования в теме форума.

Ваша оценка: Thumb up Thumb down+2

А у меня в Diagnostics-Performance голое поле, нет записей после того, как я очистил журнал. Как мне теперь узнать время загрузки?

Ваша оценка: Thumb up Thumb down0

Вова, в командной строке выполните shutdown /r

Ваша оценка: Thumb up Thumb down+3

Реально полезная статья. В лучшем случае в таких руководствах максимум на что можно рассчитывать — совет покопаться в автозагрузке msconfig; обычно же вообще пишут бред для блондинок, которые и оставляют десятки восторгающихся комментариев.

Ваша оценка: Thumb up Thumb down0

А чем полезная данная статья? Автор пишет, что у него время первой загрузки 45секунд, а сейчас 2 минуты, он узнает теперь коды ошибок и ему стало легче? мне вот например не понятно, что делать дальше.

Годится! Согласны? Thumb up Thumb down+4

Макс, если журналы не помогают, переходите к более глубокой диагностике — читайте следующие статьи серии.

Ваша оценка: Thumb up Thumb down-2

Служба Журнала событий не запускается: » Отказано в доступе», никак не могу вернуть доступ, консоль тоже «Недоступна» и все что может привести к цели — или недоступно или «Отказано в доступе» или «Ошибка код …» — исправить — недоступно, обратитесь за помощью к другу»»»…
Уже больше года ищу решение, но нигде не нахожу…
Как же все-таки включить эти слуюбы и сам Журнал событый?

Ваша оценка: Thumb up Thumb down0

Здравствуйте! Отличная статься, оказывается умение пользоваться журналом, может заменить 100500 всяких диагностических утилит. У меня к вам просьба. Не могли бы вы, продолжить тему что-то в этом духе расписать про разделы Disk и Diagnostics-Network?

Ваша оценка: Thumb up Thumb down-1

Аркадий, а что там требует пояснений?

Ваша оценка: Thumb up Thumb down-1

Но там же тоже есть свои типы записей, я знаю, что во время обслуживания пк, система читает параметры smart, она их там ведь хранит записи?

Ваша оценка: Thumb up Thumb down-1

Вадим, а коды в 10 не изменились? Я заглянул в журнал производительности, в нем исчезли коды 3ХХ, вместо них 2ХХ.

Может и по 1ХХ есть изменения и нужно править ваш диагностический пакет?

Ваша оценка: Thumb up Thumb down0

Валерий, да, я тоже не вижу кода 300, но 100 есть, и этого достаточно для диагностического пакета.

Ваша оценка: Thumb up Thumb down0

Проблемы в системе журналирования событий безопасности ОС Windows

В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой системе. Некоторые из рассматриваемых проблем будут некритичными, лишь осложняющими процедуры анализа событий, другие же будут представлять весьма серьезные угрозы безопасности.

Выявленные проблемы проверялись на Windows 7 Максимальная (русская версия), Windows 7 Professional (английская версия), Windows 10 Pro (русская версия), Windows Server 2019 Datacenter (русская версия). Все операционные системы были полностью обновлены.

Проблема № 1. Неудачная система управления параметрами аудита

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Объяснение

Чтобы разобраться в причине подобного поведения, надо залезть «под капот» операционной системы. Начнем с того, что разберемся с базовыми и расширенными политиками аудита.

До Windows Vista были только одни политики аудита, которые сейчас принято называть базовыми. Проблема была в том, что гранулярность управления аудитом в то время была очень низкой. Так, если требовалось отследить доступ к файлам, то включали категорию базовой политики «Аудит доступа к объектам». В результате чего помимо файловых операций в журнал безопасности сыпалась еще куча других «шумовых» событий. Это сильно усложняло обработку журналов и нервировало пользователей.

Microsoft услышала эту «боль» и решила помочь. Проблема в том, что Windows строится по концепции обратной совместимости, и внесение изменений в действующий механизм управления аудитом эту совместимость бы убило. Поэтому вендор пошел другим путем. Он создал новый инструмент и назвал его расширенными политиками аудита.

Суть инструмента заключается в том, что из категорий базовых политик аудита сделали категории расширенных политик, а те, в свою очередь, разделили на подкатегории, которые можно отдельно включать и отключать. Теперь при необходимости отслеживания доступа к файлам в расширенных политиках аудита необходимо активировать только подкатегорию «Файловая система», входящую в категорию «Доступ к объектам». При этом «шумовые» события, связанные с доступом к реестру или фильтрацией сетевого трафика, в журнал безопасности попадать не будут.

Гигантскую путаницу во всю эту схему вносит то, что наименования категорий базовых политик аудита и расширенных не совпадают, и по началу может показаться, что это абсолютно разные вещи, однако это не так.

Приведем таблицу соответствия наименования базовых и расширенных категорий управления аудитом

Наименование базовых политик аудита Наименование расширенной политики аудита
Аудит доступа к службе каталогов Доступ к службе каталогов (DS)
Аудит доступа к объектам Доступ к объектам
Аудит использования привилегий Использование прав
Аудит входа в систему Вход/выход
Аудит событий входа в систему Вход учетной записи
Аудит изменения политики Изменение политики
Аудит системных событий Система
Аудит управления учетными записями Управление учетными записями
Аудит отслеживания процессов Подробное отслеживание

Важно понимать, что и базовые и расширенные категории по сути управляют одним и тем же. Включение категории базовой политики аудита приводит к включению соответствующей ей категории расширенной политики аудита и, как следствие, всех ее подкатегорий. Во избежание непредсказуемых последствий Microsoft не рекомендует одновременное использование базовых и расширенных политик аудита.

Теперь настало время разобраться с тем, где хранятся настройки аудита. Для начала введем ряд понятий:

Наименование средства Отображаемые политики аудита Сохраняемые политики аудита
«Базовые политики аудита» оснастки «Локальные политики безопасности» Эффективные политики аудита Эффективные политики аудита, сохраненные политики аудита
«Расширенные политики аудита» оснастки «Локальные политики безопасности» Файл %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit. csv
Утилита auditpol Сохраненные параметры аудита Эффективные параметры аудита, сохраненные параметры аудита

Поясним таблицу на примерах.

Отдельного комментария требует порядок отображения параметров аудита в «Базовых политиках аудита» оснастки «Локальные политики безопасности». Категория базовой политики аудита отображается как установленная, если установлены все подкатегории соответствующей ей расширенной политики аудита. Если хотя бы одна из них не установлена, то политика будет отображаться как не установленная.

Администратор с помощью команды auditpol /set /category:* установил все подкатегории аудита в режим «Аудит успехов». При этом если зайти в «Базовые политики аудита» оснастки «Локальные политики безопасности», то напротив каждой категории будет установлено «Аудит успеха».

В «Базовых политиках аудита» оснастки «Локальные политики безопасности» эти сведения об аудите не отображаются, так как во всех категориях не определена одна или более подкатегорий. В «Расширенных политиках аудита» оснастки «Локальные политики безопасности» эти сведения не отображаются, так как оснастка работает только c параметрами аудита, хранящимися в файле %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit. csv.

В чем суть проблемы?

По началу может показаться, что все это и не проблема вовсе, но это не так. То, что все инструменты показывают параметры аудита по разному, создает возможность к злонамеренному манипулированию политиками и, как следствие, результатами аудита.

Рассмотрим вероятный сценарий

Пусть в корпоративной сети работает технологическая рабочая станция на базе Windows 7.

Машина не включена в домен и выполняет функции робота, ежедневно отправляющего отчетность в контролирующие органы. Злоумышленники тем или иным образом получили на ней удаленный доступ с правами администратора. При этом основная цель злоумышлеников — шпионаж, а задача — оставаться в системе незамеченными. Злоумышленники решили скрытно, чтоб в журнале безопасности не было событий с кодом 4719 «Аудит изменения политики», отключить аудит доступа к файлам, но при этом чтобы все инструменты администрирования говорили, что аудит включен. Для достижения поставленной задачи они выполнили следующие действия:

Проблема № 2. Неудачная реализация журналирования операций удаления файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

На одну операцию удаления файла, каталога или ключа реестра операционная система генерирует последовательность событий с кодами 4663 и 4660. Проблема в том, что из всего потока событий данную парочку не так уж просто связать друг с другом. Для того чтобы это сделать, анализируемые события должны обладать следующими параметрами:

Событие 1. Код 4663 «Выполнена попытка получения доступа к объекту». Параметры события:
«ObjectType» = File.
«ObjectName» = имя удаляемого файла или каталога.
«HandleId» = дескриптор удаляемого файла.
«AcessMask» = 0x10000 (Данный код соответствует операции DELETE. С расшифровкой всех кодов операций можно ознакомиться на сайте Microsoft).

Событие 2. Код 4660 «Объект удален».
Параметры события:

«HandleId» = «HandleId события 1»
«System\EventRecordID» = «System\EventRecordID из события 1» + 1.

С удалением ключа (key) реестра всё то же самое, только в первом событии с кодом 4663 параметр «ObjectType» = Key.

Отметим, что удаление значений (values) в реестре описывается другим событием (код 4657) и подобных проблем не вызывает.

Особенности удаления файлов в Windows 10 и Server 2019

В Windows 10 / Server 2019 процедура удаления файла описывается двумя способами.

В чем суть проблемы?

Проблема заключается в том, что узнать кто удалил файл или каталог, становится нетривиальной задачей. Вместо банального поиска соответствующего события по журналу безопасности необходимо анализировать последовательности событий, что вручную делать довольно трудоемко. На хабре даже по этому поводу была статья: «Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell».

Проблема № 3 (критическая). Неудачная реализация журналирования операции переименования файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Эта проблема состоит из двух подпроблем:

В чем суть проблемы?

Помимо затруднения поиска операций переименования файлов подобная особенность журналирования не позволяет отследить полный жизненный цикл объектов файловой системы или ключей реестра. В результате чего на активно используемом файловом сервере становится крайне затруднительно определить историю файла, который многократно переименовывался.

Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Windows не позволяет отследить создание каталога файловой системы и ключа реестра. Это заключается в том, что операционная система не генерирует событие, в котором содержалось бы имя создаваемого каталога или ключа реестра, и параметры которого указывали бы на то, что это именно операция создания.

В чем суть проблемы?

Эта проблема существенно затрудняет проведение расследований инцидентов информационной безопасности. Нет никаких разумных объяснений тому, что в журналах не фиксируется данная информация.

Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows

Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2019.

Описание проблемы

В русских версиях Windows есть ошибка, приводящая систему управления аудитом безопасности в нерабочее состояние.

Симптомы

Причины

Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:

Рекомендации по решению проблемы

Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик.

Если проблема произошла, то необходимо:

В чем суть проблемы?

Наличие данной проблемы уменьшает количество событий безопасности, которые можно контролировать штатным образом через расширенные политики аудита, а также создает угрозы отключения, блокирования и дестабилизации управления системой аудита в корпоративной сети.

Проблема № 6 (критическая). Будь проклят «Новый текстовый документ. txt. а также Новый точечный рисунок. bmp»

Наличие проблемы подтверждено на Windows 7. Проблема отсутствует в Windows 10/Server 2019.

Описание проблемы

Это очень странная проблема, которая была обнаружена чисто случайно. Суть проблемы в том, что в операционной системе есть лазейка, позволяющая обойти аудит создания файлов.

Подготовительная часть:

Эксперимент 1.
Делаем:

Из командной строки выполним команду: echo > «c:\test\Новый текстовый документ. txt»
Наблюдаем:

По факту создания файла в журнале безопасности появилось событие с кодом 4663, содержащее в поле «ObjectName» имя создаваемого файла, в поле «AccessMask» значение 0x2 («Запись данных или добавление файла»).

Для выполнения следующих экспериментов очистим папку и журнал событий.

Эксперимент 2.
Делаем:

В журнале событий данное действие никак не отразилось. Также никаких записей не будет, если с помощью того же контекстного меню создать «Точечный рисунок».

Эксперимент 3.
Делаем:

Как и в случае с созданием файла через командную строку в журнале появилось событие с кодом 4663 и соответствующим наполнением.

В чем суть проблемы?

Конечно создание текстовых документов или картинок особого вреда не представляет. Однако, если «Проводник» умеет обходить журналирование файловых операций, то это смогут сделать и вредоносы.

Данная проблема является, пожалуй, наиболее значимой из всех рассмотренных, поскольку серьезно подрывает доверие к результатам работы аудита файловых операций.

Заключение

Приведенный перечень проблем не исчерпывающий. В процессе работы удалось споткнуться о еще довольно большое количество различных мелких недоработок, к которым можно отнести использование локализованных констант в качестве значений параметров ряда событий, что заставляет писать свои анализирующие скрипты под каждую локализацию операционной системы, нелогичное разделение кодов событий на близкие по смыслу операции, например, удаление ключа реестра — это последовательность событий 4663 и 4660, а удаление значения в реестре — 4657, ну и еще по мелочи…

Справедливости ради отметим, что несмотря на все недостатки система журналирования событий безопасности в Windows имеет большое количество положительных моментов. Исправление указанных здесь критических проблем может вернуть системе корону лучшего решения по журналированию событий безопасности из коробки.

Ошибка «Центру обеспечения безопасности не удалось проверить вызывающий объект» в журнале событий и как ее устранить

Основная причина ошибки – отсутствие зарегистрированного системой программного объекта, проверяемого службой безопасности Windows, также ошибка может быть вызвана некорректной работой штатных или сторонних приложений.

Журнал событий Windows

В большинстве случаев она никак не нарушает работу основных функций системы и приложений, поэтому она может быть проигнорирована, однако, если у вас есть основания считать, что запись журнала «Центру обеспечения безопасности не удалось проверить вызывающий объект» связана с возникающим в процессе работы с программами ошибками, выполните следующие действия.

Переустановите или удалите Acronis True Image 2021

Переустановите или удалите сторонний антивирус

Были отмечены также случаи, когда ошибку проверки вызывающего объекта удавалось связать с работой стороннего антивируса, в частности, антивирусных продуктов McAfee и Comodo Internet Security. Переустановите, а еще лучше удалите антивирус и понаблюдайте некоторое время за системой. Если ошибка исчезла, значит виной была несогласованная работа антивирусного приложения, если это приемлемо, замените его любым другим хорошо зарекомендовавшим себя антивирусным продуктом.

Исключите конфликт антивирусного ПО, отключите Защитник Windows

OOSU10

Отключите Центр безопасности

Для этого применяем следующий твик реестра.

Открываем командой regedit редактор реестра, разворачиваем ветку:

HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService

RegEdit

Ту же самую манипуляцию повторите для параметра Start в ключе:

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc

Start

Чтобы настройки вступили в силу, перезагрузите компьютер.

Конечно, отключение Центра безопасности не устранит саму причину ошибки, но так как данный компонент не станет создавать записей, появляться в журнале событий ошибка больше не будет.

Источники:

https://www. outsidethebox. ms/11276/

https://web-shpargalka. ru/diagnostics-performance-kod-sobytija-100-kak. php

https://web-shpargalka. ru/diagnostics-performance-kod-sobytija-100-kak. php

https://www. outsidethebox. ms/11276/

https://habr. com/ru/post/476464/

https://www. white-windows. ru/oshibka-tsentru-obespecheniya-bezopasnosti-ne-udalos-proverit-vyzyvayushhij-obekt-v-zhurnale-sobytij-i-kak-ee-ustranit/

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: