تشخیص زمان نصب و پاک شدن برنامه های ویندوز از طریق Event Viewer

Event Viewer در ویندوز یکی از مهم ترین ابزارهای Auditing است.  در این آموزش قصد داریم با استفاده از این ابزار قدرتمند ، تغییرات اعمال شده بر روی نرم افزارهای سیستم عامل را Audit نماییم و تاریخچه تغییرات آن ها شامل نصب ، Uninstall و به روزرسانی را بررسی نماییم.

ابتدا وارد منوی استارت شوید و با تایپ Event Viewer ابزار را فراخوانی کنید.

وارد قسمت Windows Logs و سپس Application شوید.

از منوی سمت راست Filter Current Log را برگزنید.

در بخش Logged بازه زمانی را مشخص کنید. در بخش Event Level گزینه Information را انتخای نمایید. و در قسمت Event Sources عبارت MSIINSTALLER عینا بنویسید. در پایان OK را کلیک کنید.

همان طور که مشاهده می فرمایید ، Event های مرتبط با رخداد مورد نظر فیلتر شده اند.

حال به بررسی یکی از این Log ها می پردازیم که ببینیم شامل چه نوع اطلاعاتی است. برای اینکار کافی ست بر روی لاگ مورد نظر کلیک دوبل نمایید.

برای مثال ما در این آموزش یک نوع Event ID را با شماره ۱۱۷۲۴ بررسی کرده ایم که این Event ID نشان لاگ های حذف نرم افزار است. همان طور که مشاهده می شود نام نرم افزار و کاربری که اقدام به حذف آن نموده است هم مشخص شده است. همچنین نتیجه این اقدام و تاریخ و ساعت آن نیز نمایش داده می شود.

این آموزش در برخی از سازمان ها و مباحث جرم شناسی بسیار حائز اهمیت است. سوالات خود را در باره دیگر کاربردهای Event Viewer می توانید در قسمت نظرات همین مقاله مطرح نمایید و کارشناسان تک تیک خیلی زود به شما پاسخ خواهند داد.