Настройка параметров журналов событий

Размер и способ ведения журналов событий можно настраивать. Для настройки параметров надо щелкнуть правой кнопкой на нужном журнале событий и выбрать в контекстном меню команду Свойства. Откроется диалоговое окно, показанное на рис. 16.3.


Рис. 16.3.

По умолчанию размер большинства журналов системы Windows 2003 — 16 МБ (для журнала безопасности — 128 МБ, в предыдущих версиях системы стандартный размер журнала — 512 КБ). При заполнении журнала старые события будут стираться. Администратор может изменить как размер журнала, так и способ управления записями при достижении максимального размера журнала (например, автоматически затирать события старше какого-то определенного количества дней или вообще не затирать старые события, в этом случае новые события в журнале регистрироваться не будут).

Содержимое журналов можно очищать вручную — щелкнуть правой кнопкой мыши на журнале, выбрать в меню команду " Стереть все события ". Система предложит сохранить стираемые события в отдельном файле, нужно выбрать требуемый вариант, и журнал будет очищен. При этом сохранять стираемые записи можно в трех разных вариантах: двоичном (с расширением файла " .evt ", такой файл можно будет просматривать только программой " Просмотр событий "), или текстовых (с расширением файла " .txt " —со знаком табуляции в качестве разделителя столбцов, а также с расширением файла " .csv " — с запятой в качестве разделителя). Сохранять содержимое журналов можно и без стирания старых записей. Открыть сохраненные записи можно через меню " Действие " консоли "Просмотр событий ", выбрав пункт " Открыть файл журнала ".

Просмотр журналов (фильтрация событий)

В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) " Просмотр событий " позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в " Просмотре событий ". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки " Общие ", имеется также закладка " Фильтр ", позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):


Рис. 16.4.

Можно установить правила отбора:

  • по типу событий — уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;
  • по источнику (например, компоненты системы Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);
  • по категории (например, Диск, Оболочка, Принтеры, Сеть, Службы, Устройства и др.);
  • по известному коду события;
  • по имени пользователя;
  • по имени компьютера;
  • задать период времени — с какого по какой момент времени отобрать события.

На рис. 16.5 изображен фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра — на рис. 16.6 (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы " Журнал событий ).


Рис. 16.5.


Рис. 16.6.

Вернуться к полному просмотру всех событий можно, выбрав в меню " Вид " команду " Все записи " (рис. 16.7):


Рис. 16.7.

Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале " Безопасность ".

Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе " Параметры безопасностиЛокальные политикиПолитики аудита " любого объекта групповых политик.

На рис. 16.8 изображены стандартные политики аудита для организационного подразделения " Контроллеры домена ".


Рис. 16.8.

Рассмотрим параметры этого раздела:

  • Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;
  • Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;
  • Аудит доступа к службе каталогов регистрирует доступ к Active Directory;
  • Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;
  • Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);
  • Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;
  • Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;
  • Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;
  • Аудит управления учетными записямирегистрирует управление учетными записями посредством консоли " Active Directory - пользователи и компьютеры " (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).







Дата добавления: 2015-10-13; просмотров: 1351;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.