Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Изучите возможности управления журналом безопасности




Использование утилиты Просмотр событий (Event Viewer)

Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра жур­налов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Про­смотр событий (Event Viewer) также используют для просмотра со­держимого файлов журнала безопасности и поиска конкретных со­бытий в файлах журнала.

Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таб­лица 4).

 

 

Журналы Windows XP Professional. Таблица 4

Журнал Описание
Журнал приложений Хранит сообщения об ошибках, предупрежде­ния или информацию, генерируемые приложе­ниями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ
Журнал безопасности Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регист­рируются Windows XP Professional в соответст­вии с политикой аудита
Системный журнал Хранит сообщения об ошибках, предупрежде­ния и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional

 

Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.

Просмотр журнала безопасности

В журнале безопасности (security log) хранится информация о собы­тиях, которые отслеживаются политикой аудита, например неудач­ные и успешные попытки регистрации в системе.

Windows XP Professional регистрирует события в журнале безопас­ности того компьютера, на котором событие произошло. Эти собы­тия можно просматривать с любого компьютера при наличии прав администратора на компьютере, на котором произошло событие. Что­бы просмотреть журнал безопасности удаленного компьютера, от­кройте консоль ММС и выберите просмотр событий удаленного ком­пьютера.

При первом запуске утилиты Просмотр событий (Event Viewer) авто­матически отображаются все события, зарегистрированные в выбран­ном журнале. Чтобы показать нужные события, можно использовать команду Фильтр (Filter). Кроме того, для поиска конкретных собы­тий применяют команду Найти (Find).

Чтобы выполнить отбор или поиск событий, запустите утилиту Просмотр событий (Event Viewer), затем в меню Вид (View) щелкните пункт Фильтр (Filter) или Найти (Find). Параметры в окнах фильтра и поиска практически не отличаются.

В таблице 5 перечислены параметры вкладки Фильтр (Filter), используемые для отбора нужных событий, и команды Найти (Find), применяемые для поиска нужных событий.

Управление журналами аудита

Сравнивая данные журналов, записанные в разное время, можно вы­являть закономерности в работе Windows XP Professional. Их анализ позволяет определять загруженность ресурсов и планировать их рас­ширение. Кроме того, в журналах фиксируются попытки неавтори­зованного использования ресурсов. Windows XP Professional позволя­ет изменять размер файлов журнала и задавать действия системы при переполнении журнала.

Параметры для фильтрации и поиска событий. Таблица 5

Параметр Описание
Типы событий (Event Types) Типы событий для просмотра
Источник события (Event Source) Программа или драйвер компонента, вызвавший событие
Категория (Category) Тип события, например попытка входа, выхода или системное событие
Код события (Event ID) Идентификационный номер события. Он упрощает сотрудникам службы технической поддержки контроль событий
Пользователь (User) Имя учетной записи пользователя
Компьютер (Computer) Имя компьютера
«С» и «До» (From and To) Интервал времени, за который вы хотите просмотреть события [только на вкладке Фильтр (Filter)]
Восстановить значения по умолчанию (Restore Defaults) Отменяет все изменения на этой вкладке и восстанавливает значения по умолчанию
Описание (Description) Текстовый фрагмент в описании события (только в диалоговом окне Найти (Find)
Направление поиска (Search Direction) Направление, в котором программа поиска будет просматривать журнал (вверх или вниз; только в диалоговом окне Найти (Find)
Найти далее (Find Next) Программа поиска находит и отображает следующую запись, удовлетворяющую условиям поиска

Параметры каждого журнала аудита можно настраивать в отдель­ности. Чтобы изменить параметры журнала, выберите его название в окне утилиты Просмотр событий (Event Viewer), а затем в меню Дей­ствие (Action) щелкните пункт Свойства (Properties). В диалоговом окне Свойства (Properties) для каждого типа журна­ла аудита настраиваются следующие параметры:

• предельный размер каждого журнала, который может изменяться от 64 кбайт до 4194240 кбайт (4 Гбайт). По умолчанию размер жур­нала составляет 512 кбайт;

• действия Windows XP Professional при достижении файлом журна­ла предельного размера. Чтобы настроить эти действия, выберите один из вариантов, перечисленных в таблице 6.

 

Архивация журналов

Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохра­нять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.

Чтобы сохранить, очистить или просмотреть архивированный жур­нал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 7.

 

Варианты обработки заполненных файлов журнала аудита. Таблица 6

Параметр Описание
Удалять старые события по необходимости (Overwrite Events As Needed) Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания
Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days) Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7)
He удалять события (Do Not Overwrite Events) Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности

Действия для архивации, очистки или просмотра файла журнала. Таблица 7

Действие Выполните
Сохранить журнал в архиве Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла
Очистить журнал   Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен
Просмотреть архиви­рованный журнал Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала

 

ВОПРОСЫ К ДОМАШНИМ ЗАДАНИЯМ

1. Что называется аудитом?

2. Что такое политика аудита?

3. На компьютере с Windows XP Professional аудит по умолчанию (включен/выключен).

4. Где регистрируются события, заданные политикой аудита, при включенном аудите событий на компьютере с Windows XP Professional?

5. Какова цель выявления неудавшихся операций при аудите собы­тий на компьютере с Windows XP Professional?

6. Что необходимо для установки и администрирования аудита?

7. На какие два этапа подразделяется установка аудита?

8. Как настроить политики аудита на локальном компьютере?

9. В каких случаях требуется аудит системных событий?

10. По умолчанию все изменения параметров аудита для родительской папки (наследуются/не наследуются) всеми дочер­ними папками и всеми файлами в родительской и дочерних пап­ках.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...