 |
Изучите возможности управления журналом безопасности
|
|
|
|
Использование утилиты Просмотр событий (Event Viewer)
Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.
Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 4).
Журналы Windows XP Professional. Таблица 4
| Журнал | Описание |
| Журнал приложений | Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ |
| Журнал безопасности | Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита |
| Системный журнал | Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional |
Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.
Просмотр журнала безопасности
В журнале безопасности (security log) хранится информация о событиях, которые отслеживаются политикой аудита, например неудачные и успешные попытки регистрации в системе.
Windows XP Professional регистрирует события в журнале безопасности того компьютера, на котором событие произошло. Эти события можно просматривать с любого компьютера при наличии прав администратора на компьютере, на котором произошло событие. Чтобы просмотреть журнал безопасности удаленного компьютера, откройте консоль ММС и выберите просмотр событий удаленного компьютера.
|
|
|
При первом запуске утилиты Просмотр событий (Event Viewer) автоматически отображаются все события, зарегистрированные в выбранном журнале. Чтобы показать нужные события, можно использовать команду Фильтр (Filter). Кроме того, для поиска конкретных событий применяют команду Найти (Find).
Чтобы выполнить отбор или поиск событий, запустите утилиту Просмотр событий (Event Viewer), затем в меню Вид (View) щелкните пункт Фильтр (Filter) или Найти (Find). Параметры в окнах фильтра и поиска практически не отличаются.
В таблице 5 перечислены параметры вкладки Фильтр (Filter), используемые для отбора нужных событий, и команды Найти (Find), применяемые для поиска нужных событий.
Управление журналами аудита
Сравнивая данные журналов, записанные в разное время, можно выявлять закономерности в работе Windows XP Professional. Их анализ позволяет определять загруженность ресурсов и планировать их расширение. Кроме того, в журналах фиксируются попытки неавторизованного использования ресурсов. Windows XP Professional позволяет изменять размер файлов журнала и задавать действия системы при переполнении журнала.
Параметры для фильтрации и поиска событий. Таблица 5
| Параметр | Описание |
| Типы событий (Event Types) | Типы событий для просмотра |
| Источник события (Event Source) | Программа или драйвер компонента, вызвавший событие |
| Категория (Category) | Тип события, например попытка входа, выхода или системное событие |
| Код события (Event ID) | Идентификационный номер события. Он упрощает сотрудникам службы технической поддержки контроль событий |
| Пользователь (User) | Имя учетной записи пользователя |
| Компьютер (Computer) | Имя компьютера |
| «С» и «До» (From and To) | Интервал времени, за который вы хотите просмотреть события [только на вкладке Фильтр (Filter)] |
| Восстановить значения по умолчанию (Restore Defaults) | Отменяет все изменения на этой вкладке и восстанавливает значения по умолчанию |
| Описание (Description) | Текстовый фрагмент в описании события (только в диалоговом окне Найти (Find) |
| Направление поиска (Search Direction) | Направление, в котором программа поиска будет просматривать журнал (вверх или вниз; только в диалоговом окне Найти (Find) |
| Найти далее (Find Next) | Программа поиска находит и отображает следующую запись, удовлетворяющую условиям поиска |
Параметры каждого журнала аудита можно настраивать в отдельности. Чтобы изменить параметры журнала, выберите его название в окне утилиты Просмотр событий (Event Viewer), а затем в меню Действие (Action) щелкните пункт Свойства (Properties). В диалоговом окне Свойства (Properties) для каждого типа журнала аудита настраиваются следующие параметры:
|
|
|
• предельный размер каждого журнала, который может изменяться от 64 кбайт до 4194240 кбайт (4 Гбайт). По умолчанию размер журнала составляет 512 кбайт;
• действия Windows XP Professional при достижении файлом журнала предельного размера. Чтобы настроить эти действия, выберите один из вариантов, перечисленных в таблице 6.
Архивация журналов
Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохранять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный журнал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 7.
Варианты обработки заполненных файлов журнала аудита. Таблица 6
| Параметр | Описание |
| Удалять старые события по необходимости (Overwrite Events As Needed) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания |
| Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7) |
| He удалять события (Do Not Overwrite Events) | Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности |
Действия для архивации, очистки или просмотра файла журнала. Таблица 7
|
|
|
| Действие | Выполните |
| Сохранить журнал в архиве | Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла |
| Очистить журнал | Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен |
| Просмотреть архивированный журнал | Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала |
ВОПРОСЫ К ДОМАШНИМ ЗАДАНИЯМ
1. Что называется аудитом?
2. Что такое политика аудита?
3. На компьютере с Windows XP Professional аудит по умолчанию (включен/выключен).
4. Где регистрируются события, заданные политикой аудита, при включенном аудите событий на компьютере с Windows XP Professional?
5. Какова цель выявления неудавшихся операций при аудите событий на компьютере с Windows XP Professional?
6. Что необходимо для установки и администрирования аудита?
7. На какие два этапа подразделяется установка аудита?
8. Как настроить политики аудита на локальном компьютере?
9. В каких случаях требуется аудит системных событий?
10. По умолчанию все изменения параметров аудита для родительской папки (наследуются/не наследуются) всеми дочерними папками и всеми файлами в родительской и дочерних папках.
|
|
|
