Диагностика. Диагностика состояния и результатов функционирования антивируса проявляется в двух плоскостях: Уведомления пользователю Ведение журналов

Диагностика состояния и результатов функционирования антивируса проявляется в двух плоскостях:

• Уведомления пользователю
• Ведение журналов

Уведомления бывают двух видов: локальные и сетевые. Локальные могут выражаться в виде информационных окон, всплывающих сообщений в системной панели, в виде изменения статуса антивируса (в той же системной панели или в окне интерфейса). В какой-то мере локальным уведомлением может считаться запись в журнал.

Сетевые уведомления предназначены для уведомления не пользователя, а администратора антивирусной безопасности, отвечающего за защиту сети в целом. Следовательно, сетевые уведомления могут быть реализованы только в сетевой (корпоративной) версии антивируса, в персональной версии сетевые уведомления не имеют смысла.

Наиболее распространенными способами доставки сетевых уведомлений являются электронная почта и служба оповещений Windows (имя службы - Оповещатель (Messenger)). Существуют и другие способы доставки, но они редко бывают реализованы непосредственно в антивирусе, поэтому о них речь пойдет позже при рассмотрении подсистемы диагностики в системе администрирования.

Стоит отметить, что наличие встроенных в корпоративный антивирус для рабочих станций возможностей уведомления по сети обычно характерно для тех производителей, у которых система администрирования не является бесплатной, а поставляется и лицензируется как отдельный продукт. У производителей, предлагающих систему администрирования бесплатно, сам по себе антивирус, как правило, сетевые уведомления отправлять не может.

Пример. Антивирус Касперского Personal и Personal Pro имеют только локальные возможности уведомления. Причем для различных событий используются различные инструменты: при обнаружении вируса на экране может отображаться диалоговое окно с выбором варианта действия, при смене состояния антивируса (устаревание баз, запуск задач и т.п.) отображаются всплывающие подсказки в системной панели и меняется статус антивируса в главном окне интерфейса.

Антивирус Касперского для Windows Workstations обладает теми же возможностями, что и персональные версии. Поскольку Kaspersky Administration Kit является бесплатным и обладает всеми необходимыми средствами для организации сетевых уведомлений, альтернативная реализация этой возможности в антивирусе для рабочих станций отсутствует.

Хотя журналы работы и можно рассматривать как один из вариантов уведомления, все же их функции несколько шире. Если уведомления - действия разовые, не оставляющие после себя никаких следов, то журналы остаются и могут быть проанализированы для выяснения причин заражения, сбоев, неполадок и других инцидентов.

Существуют различные подходы к ведению журналов:

• Журналы создаются отдельно для каждого выполнения любой задачи. Т. е. каждый запуск задачи проверки по требованию или обновления создает отдельный журнал, помимо этого ведется журнал событий, не связанных с выполнением задач
• Журналы ведутся для различных типов выполняемых действий- общий журнал обновлений, общий журнал постоянной защиты, общий журнал проверки по требованию и т.д. Вырожденным случаем является ситуация, когда все события проверки попадают в один журнал, события обновления - в другой, а прочие события просто в журналах не фиксируются

Преимущества есть у обоих подходов, в первом случае упрощается анализ отдельного журнала, но возникает проблема поиска нужного, во втором - сразу понятно, где искать, но сам поиск по журналу может составить проблему.

Кроме этого возможны различия в форматах хранения журналов и, как следствие, способах работы с ними. Если журналы сохраняются в обычном текстовом формате с понятными описаниями событий, их можно анализировать в любом текстовом редакторе. Но нередко журналы хранятся в служебных нечитаемых форматах и для работы с ними нужно использовать встроенные в антивирус средства.

Пример. В Антивирусе Касперского для Windows Workstations отдельный журнал создается для каждой задачи. Формат журналов - служебный и нормальная работа с ними возможна только через интерфейс антивируса.

В Антивирусе Касперского для Linux Workstations журналы создаются для различных действий (фактически, для различных модулей) - журнал проверки, журнал обновлений. Анализировать эти журналы можно в любом текстовом редакторе.

Иногда в дополнение к событиям, в журналы записывается информация о настройках (задачи или антивируса) при которых это событие имело место. Что касается самих событий, то в них обязательно указывается дата и время, тип события, описание и перечисление важных для данного события параметров. Например, при обнаружении вируса должны указываться тип вируса и имя зараженного файла, а также предпринятое действие.