3. Просмотр журнала безопасности средствами Event Viewer

Программа Event Viewer (Просмотр событий) позволяет просматривать информацию об ошибках и предупреждениях, а также об успешных или неудачных запусках задач. На этом занятии мы расскажем о трех разновидностях журналов, создаваемых программой Event Viewer, сделав акцент на журнале безопасности. Кроме того, здесь Вы узнаете, как посмотреть информацию, записанную в результате аудита.

1. Типы журналов

Event Viewer позволяет просмотреть информацию об ошибках и предупреждениях, а также об успешных и неудачных запусках задач. Эта информация хранится в одном из трех описанных ниже журналов.

• Системный журнал(System log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей (например, драйвера сетевой карты). Список событий, регистрируемых в этом журнале, предопределен операционной системой Windows NT и компонентами сторонних производителей и не может быть изменен пользователем.

• Журнал безопасности(Security log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются заданной Вами стратегией аудита.

• Журнал приложений (Application log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями (системой управления базами данных, программой обработки электронной почты и т.д.). Список событий, регистрируемых в этом журнале, определяется разработчиками приложений.

Программа Event Viewer позволяет просматривать журналы любого компьютера, работающего под управлением Windows NT. Версии этой программы для Windows NT Workstation и Windows NT Server ничем не отличаются.

2. Условия просмотра журнала безопасности

Журнал безопасности находится на компьютере, на котором реализован аудит. Чтобы просмотреть журнал безопасности, Вам нужно быть членом группы Administrators (Администраторы) или Server Operators (Операторы сервера) компьютера, на котором находится этот журнал.

Например, если аудит установлен на компьютере под управлением Windows NT Workstation или на сервере, для просмотра журнала безопасности Вы должны обладать административными полномочиями на этом компьютере. Если же аудит реализуется на главном контроллере домена, для просмотра журнала безопасности необходимы административные полномочия в домене.

!!!Для просмотра журнала безопасности на компьютере другого домена между доменами должны быть установлены необходимые доверительные отношения.

3. Просмотр журнала безопасности

В журнал безопасности записываются события, отслеживаемые при аудите. Успешно завершившиеся события отмечены изображением ключа, неудачные — изображением замка. Для каждого события указаны время и дата, когда оно произошло, а также его категория. Категория характеризует тип отслеживаемого события (то есть события, включенного в стратегию аудита).

В приведенной ниже таблице перечислены категории событий Event Viewer с указанием соответствующих им типов событий аудита.

4. Отбор событий

По умолчанию Event Viewer выводит на экран все события, зарегистрированные в журнале. Если Вас интересуют лишь некоторые из них, имеющие общие характеристики, воспользуйтесь командой Filter Events (Фильтр) меню View (Вид) для отбора событий. Когда режим фильтрования включен, в строке команды Filter Events (Фильтр) меню View (Вид) появится галочка, а в строке заголовка окна Event Viewer — примечание "Filtered" (Фильтр). Если команда Save Settings On Exit (Сохранять настройку при выходе) меню Options (Параметры) активна (в этом случае Вы увидите напротив нее галочку), то при выходе из Event Viewer функция фильтрования сохранится и будет применена к журналу при следующем запуске программы Event Viewer.

Фильтрование не оказывает влияния на содержимое журнала: оно изменяет только его визуальное представление. Все события остаются в журнале вне зависимости от того, применен к ним фильтр или нет.

В таблице описаны параметры диалогового окна Filter (Фильтр).