Диагностика. Диагностика состояния и результатов функционирования антивируса проявляется в двух плоскостях: Уведомления пользователю Ведение журналов
Диагностика состояния и результатов функционирования антивируса проявляется в двух плоскостях:
- Уведомления пользователю
- Ведение журналов
Уведомления бывают двух видов: локальные и сетевые. Локальные могут выражаться в виде информационных окон, всплывающих сообщений в системной панели, в виде изменения статуса антивируса (в той же системной панели или в окне интерфейса). В какой-то мере локальным уведомлением может считаться запись в журнал.
Сетевые уведомления предназначены для уведомления не пользователя, а администратора антивирусной безопасности, отвечающего за защиту сети в целом. Следовательно, сетевые уведомления могут быть реализованы только в сетевой (корпоративной) версии антивируса, в персональной версии сетевые уведомления не имеют смысла.
Наиболее распространенными способами доставки сетевых уведомлений являются электронная почта и служба оповещений Windows (имя службы - Оповещатель (Messenger)). Существуют и другие способы доставки, но они редко бывают реализованы непосредственно в антивирусе, поэтому о них речь пойдет позже при рассмотрении подсистемы диагностики в системе администрирования.
Стоит отметить, что наличие встроенных в корпоративный антивирус для рабочих станций возможностей уведомления по сети обычно характерно для тех производителей, у которых система администрирования не является бесплатной, а поставляется и лицензируется как отдельный продукт. У производителей, предлагающих систему администрирования бесплатно, сам по себе антивирус, как правило, сетевые уведомления отправлять не может.
Пример. Антивирус Касперского Personal и Personal Pro имеют только локальные возможности уведомления. Причем для различных событий используются различные инструменты: при обнаружении вируса на экране может отображаться диалоговое окно с выбором варианта действия, при смене состояния антивируса (устаревание баз, запуск задач и т.п.) отображаются всплывающие подсказки в системной панели и меняется статус антивируса в главном окне интерфейса.
Антивирус Касперского для Windows Workstations обладает теми же возможностями, что и персональные версии. Поскольку Kaspersky Administration Kit является бесплатным и обладает всеми необходимыми средствами для организации сетевых уведомлений, альтернативная реализация этой возможности в антивирусе для рабочих станций отсутствует.
Хотя журналы работы и можно рассматривать как один из вариантов уведомления, все же их функции несколько шире. Если уведомления - действия разовые, не оставляющие после себя никаких следов, то журналы остаются и могут быть проанализированы для выяснения причин заражения, сбоев, неполадок и других инцидентов.
Существуют различные подходы к ведению журналов:
- Журналы создаются отдельно для каждого выполнения любой задачи. Т. е. каждый запуск задачи проверки по требованию или обновления создает отдельный журнал, помимо этого ведется журнал событий, не связанных с выполнением задач
- Журналы ведутся для различных типов выполняемых действий- общий журнал обновлений, общий журнал постоянной защиты, общий журнал проверки по требованию и т.д. Вырожденным случаем является ситуация, когда все события проверки попадают в один журнал, события обновления - в другой, а прочие события просто в журналах не фиксируются
Преимущества есть у обоих подходов, в первом случае упрощается анализ отдельного журнала, но возникает проблема поиска нужного, во втором - сразу понятно, где искать, но сам поиск по журналу может составить проблему.
Кроме этого возможны различия в форматах хранения журналов и, как следствие, способах работы с ними. Если журналы сохраняются в обычном текстовом формате с понятными описаниями событий, их можно анализировать в любом текстовом редакторе. Но нередко журналы хранятся в служебных нечитаемых форматах и для работы с ними нужно использовать встроенные в антивирус средства.
Пример. В Антивирусе Касперского для Windows Workstations отдельный журнал создается для каждой задачи. Формат журналов - служебный и нормальная работа с ними возможна только через интерфейс антивируса.
В Антивирусе Касперского для Linux Workstations журналы создаются для различных действий (фактически, для различных модулей) - журнал проверки, журнал обновлений. Анализировать эти журналы можно в любом текстовом редакторе.
Иногда в дополнение к событиям, в журналы записывается информация о настройках (задачи или антивируса) при которых это событие имело место. Что касается самих событий, то в них обязательно указывается дата и время, тип события, описание и перечисление важных для данного события параметров. Например, при обнаружении вируса должны указываться тип вируса и имя зараженного файла, а также предпринятое действие.
Дата добавления: 2015-06-12; просмотров: 606;