Сдам Сам

ПОЛЕЗНОЕ


КАТЕГОРИИ







Використання утиліти Перегляд подій (Просмотр событий або Event Viewer)





Утиліта Перегляд подій (Просмотр событий або Event Viewer) застосовується для рішення різних задач адміністрування, у тому числі для перегляду журналів аудита, створених у результаті установлення політики аудита й обновлюваних при виникненні заданих подій. Утиліту Перегляд подій (Просмотр событий або Event Viewer) також використовують для перегляду вмісту файлів журналу безпеки і пошуку конкретних подій у файлах журналу.

Призначення журналів Windows XP Professional

Утиліта Перегляд подій (Просмотр событий або Event Viewer) необхідна для перегляду інформації, що міститься в журналах (logs) Windows XP Professional. За замовчуванням ця утиліта дозволяє переглядати три журнали (таблиця 10.4).

Таблиця 10.4. Журнали Windows XP Professional

Журнал Опис
Журнал прикладних програм Зберігає повідомлення про помилки, попередження або інформацію, що генеруються додатками, наприклад СУБД або програмою електронної пошти. Події, які реєструються в журналі, задаються розроблювачами відповідних програм
Журнал безпеки Містить інформацію про успішні або невдалі спроби виконання операцій, аудит яких включений. Ці події реєструються Windows XP Professional відповідно до політики аудита
Системний журнал Зберігає повідомлення про помилки, попередження і дані, що генеруються Windows XP Professional. Події, які реєструються в журналі, задаються в Windows XP Professional

 

Примітка.Якщо встановлені додаткові служби, можуть бути додані і відповідні журнали подій.

Перегляд журналу безпеки

У журналі безпеки (security log) зберігається інформація про події, що відслідковуються політикою аудита, наприклад невдалі й успішні спроби реєстрації в системі. Щоб переглянути журнал безпеки, виконайте дії, описані далі.

Натисніть Пуск (Start), Панель управління (Панель управления або Control Panel), Продуктивність і обслуговування (Производительность и обслуживание або Performance And Maintenance), Адміністрування (Администрирование або Administrative Tools), потім двічі натисніть ярлик Перегляд подій (Просмотр событий або Event Viewer).

У дереві консолі утиліти перегляду подій натисніть Безпека (Безопасность або Security). У правій панелі відобразиться список елементів журналу з коротким описом кожного елемента, як показано на рис. 10.5.

 

Рис. 10.5. Відображення журналу безпеки у вікні утиліти Перегляд подій (Просмотр событий або Event Viewer)

Успішні спроби умовно позначені значком ключа, а невдалі — значком замка. Крім того, зазначена дата і час події, категорія події і користувач, дія якого викликало дану подію.

У колонку Категорія (Категория або Category) відображається тип події, наприклад доступ до об'єкта, управління обліковими записами, доступ до служби каталогів або спроби реєстрації в системі.

Щоб переглянути додаткову інформацію про будь-яку подію, натисніть назву події у меню Дія (Действие або Action) натисніть пункт Властивості (Свойства або Properties).

Windows XP Professional реєструє події в журналі безпеки того комп'ютера, на якому подія відбулася. Ці події можна переглядати з будь-якого комп'ютера при наявності прав адміністратора на комп'ютері, на якому відбулася подія. Щоб переглянути журнал безпеки віддаленого комп'ютера, відкрийте консоль ММС і виберіть перегляд подій віддаленого комп'ютера.

Пошук подій

При першому запуску утиліти Перегляд подій (Event Viewer) автоматично відображаються всі події, зареєстровані в обраному журналі. Щоб показати необхідні події, можна використовувати команду Фільтр (Фильтр або Filter). Крім того, для пошуку конкретних подій застосовують команду Знайти (Найти або Find).

Щоб виконати відбір або пошук подій, запустіть утиліту Перегляд подій (Просмотр событий або Event Viewer), потім у меню Вид (Вид або View) натисніть пункт Фільтр (Фильтр або Filter) або Знайти (НайтиабоFind). Параметри у вікнах фільтра і пошуку практично не відрізняються. На рис. 10.6 показані параметри вкладки Фільтр (Фильтр або Filter).

Рис. 10.6. Вкладка Фільтр (Фильтр або Filter) вікна Властивості: Безпека (Свойства: Безопасность або System Properties) утиліти Перегляд подій (Просмотр событий або Event Viewer)

У таблиці 10.5перераховані параметри вкладки Фільтр (Фильтр або Filter), які використовуються для добору потрібних подій, і команди Знайти (Найти або Find), що застосовуються для пошуку потрібних подій.

 

Таблиця 10.5. Параметри для фільтрації і пошуку подій

Параметр Опис
Типи подій(Типы событий або Event Types) Типи подій для перегляду
Джерело події(Источник события або Event Source) Програма або драйвер компонента, що викликав подію
Категорія(Категория або Category) Тип події, наприклад спроба входу, виходу або системна подія
Код події(Код события або Event ID) Ідентифікаційний номер події. Він спрощує співробітникам служби технічної підтримки контроль подій
Користувач(Пользователь або User) Ім'я облікового запису користувача
Комп'ютер(Компьютер або Computer) Ім'я комп'ютера
«З» і «До» («С» и «До» From and To) Інтервал часу, за який ви хочете переглянути події [тільки на вкладці Фільтр(Фильтр або Filter)]
Відновити значення за замовчуванням(Восстановить значения по умолчаниюабо Restore Defaults) Скасовує всі зміни на цій вкладці і відновлює значення за замовчуванням
Опис(Описание або Description) Текстовий фрагмент в описі події (тільки в діалоговому вікні Знайти(Найти або Find)
Напрямок пошуку(Направление поиска або Search Direction) Напрямок, у якому програма пошуку буде переглядати журнал (вверх або вниз; тільки в діалоговому вікні Знайти(Найти або Find)
Знайти далі(Найти далееабо Find Next) Програма пошуку знаходить і відображає наступний запис, що задовольняє умовам пошуку

Управління журналами аудита

Порівнюючи дані журналів, записані в різний час, можна виявляти закономірності в роботі Windows XP Professional. Їхній аналіз дозволяє визначати завантаженість ресурсів і планувати їхнє розширення. Крім того, в журналах фіксуються спроби неавторизованого використання ресурсів. Windows XP Professional дозволяє змінювати розмір файлів журналу і задавати дії системи при переповненні журналу.

Параметри кожного журналу аудита можна настроювати окремо. Щоб змінити параметри журналу, виберіть його назву у вікні утиліти Перегляд подій (Просмотр событийабо Event Viewer), а потім у меню Дія (Действие або Action) натисніть пункт Властивості (Свойства або Properties). З'явиться діалогове вікно Властивості (Свойства або Properties) для обраного журналу.

У діалоговому вікні Властивості (Свойства або Properties) для кожного типу журналу аудита настроюються наступні параметри:

- граничний розмір кожного журналу, що може змінюватися від 64 кбайт до 4194240 кбайт (4 Гбайт). За замовчуванням розмір журналу складає 512 кбайт;

- дії Windows XP Professional при досягненні файлом журналу граничного розміру. Щоб настроїти ці дії, виберіть один з варіантів, перерахованих у таблиці 10.6.

 

Таблиця 10.6. Варіанти обробки заповнених файлів журналу аудита

Параметр Опис
Видаляти старі події по необхідності(Удалять старые события по необходимости або Overwrite Events As Needed) Якщо встановлено цей параметр, можна втратити інформацію при переповненні журналу до того, як його збережуть. Однак при цьому не потрібно обслуговування
Видаляти події, що відбулися більш, ніж Х днів назад (Удалять события, произошедшие более, чем X дней назад або Overwrite Events Older Than XDays) Якщо встановлено цей параметр, можна втратити інформацію при переповненні журналу до того, як його збережуть. Буде втрачена тільки та інформація, що надійшла більш X днівназад. При застосуванні цього параметра необхідно вказати число днів (за замовчуванням 7)
He видаляти події(He удалять событияабо Do Not Overwrite Events) Якщо встановлено цей параметр, потрібно очищати журнал вручну. При заповненні журналу Windows XP Professional припиняє реєстрацію подій, зберігаючи вже наявні записи журналу безпеки

Архівація журналів

Архівація журналів безпеки дозволяє вести облік подій, зв'язаних з безпекою. На багатьох підприємствах прийнято зберігати архівовані журнали протягом деякого часу, щоб мати можливість переглянути інформацію з безпеки за необхідний період.

Щоб зберегти, очистити або переглянути архівований журнал виберіть необхідний журнал у вікні утиліти Перегляд подій (Просмотр событийабо Event Viewer) і виконайте одну з дій, перерахованих у таблиці 10.7.

 

Таблиця 10.7. Дії для архівації, очищення або перегляду файлу журналу

Дія Виконаєте
Зберегти журнал в архіві Натисніть Зберегти файл журналу як(Сохранить файл журнала как або Save Log File As), потім введіть ім'я файлу
Очистити журнал Для очищення журналу натисніть Стерти всі події(Стереть все события або Clear All Events). При цьому Windows XP Professional генерує запис у журналі безпеки про те, що журнал очищений
Переглянути архівований журнал Натисніть Новий вид журналу(Новый вид журналаабо New Log View); укажіть вид обраного журналу

Виводи

На комп'ютері з Windows XP Professional аудит дозволяє контролювати безпеку мережі, відслідковуючи дії користувачів і системні події.

Щоб указати, які події необхідно реєструвати, потрібно встановити політику аудита.

Події, зазначені в політиці аудита, реєструються Windows XP Professional у журналі безпеки.

Для перегляду журналу безпеки використовується утиліта Перегляд подій (Просмотр событийабо Event Viewer).

При плануванні політики аудита варто визначити, на яких комп'ютерах установити аудит і що реєструвати на кожному з них.

Можна реєструвати успішні спроби, невдалі спроби або обидва види подій.

На першому етапі реалізації політики аудита вибираються типи подій для аудита Windows XP Professional.

Можна вибрати події для аудита файлів і папок, розміщених у томах NTFS. Дозволяється також вибрати події для аудита принтерів.

Після настроювання політики аудита на реєстрацію доступу до об'єктів можна включити аудит конкретних файлів, папок і принтерів. Можна також указати, для яких типів доступу, користувачів або груп потрібен аудит.

Для кожної події, аудит якого можливий, параметри конфігурації вказують, чи відслідковувати успішні спроби, невдалі спроби або обидва види подій.

Щоб настроювати політику аудита або переглядати журнал аудита на комп'ютері, необхідне право Управління аудитом і журналом безпеки (Управление аудитом и журналом безопасности або Manage Auditing And Security Log). За замовчуванням у Windows XP Professional таке право надане групі Адміністратори (Administrators).

Для настроювання політик аудита використовується оснащення Групова політика (Групповая політика або Group Policy). Зміни в політиці аудита набирають сили після перезапуску комп'ютера.


 

Лабораторна робота №11.

Тема: Побудова мереж на базі MS Windows та їх адміністрування.

Мета: Отримати практичні навички в побудові мереж та їх адмініструванні на базі ОС Windows XP Professional.

Література:

21. В.П.Леоньев, Большая энциклопедия комп’ютера и интернета, 2005.

22. Конспект лекцій.

Матеріально технічне забезпечення та дидактичні засоби, ТЗН: комп’ютери з встановленою операційною системою Windows XP Professional.







ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала...

ЧТО ПРОИСХОДИТ ВО ВЗРОСЛОЙ ЖИЗНИ? Если вы все еще «неправильно» связаны с матерью, вы избегаете отделения и независимого взрослого существования...

Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем...

Система охраняемых территорий в США Изучение особо охраняемых природных территорий(ООПТ) США представляет особый интерес по многим причинам...





Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:


©2015- 2024 zdamsam.ru Размещенные материалы защищены законодательством РФ.