Работа с журналом безопасности Программа просмотра журнала.

События, произошедшие на данном компьютере и имеющие отношение к безопас­ности, регистрируются в журнале безопасности ОС Windows 2000, который будем далее называть "журналом безопасности".

Для работы с журналом безопасности используется программа SnLView. Она позво­ляет эффективно организовывать просмотр зарегистрированных событий благодаря возможностям расширенного представления данных, поиска, сортировки и преобра­зования записей журнала в другие форматы.

Для вызова программы SnLView:

Программу SnLView можно вызвать:

1. Из меню Secret Net панели задач. Вызовите контекстное меню к логотипу Se­cret Net на панели задач и выберите в нем пункт "Журнал".

2. Из программы "Проводник". В окне программы "Проводник" вызовите контек­стное меню к папке "Secret Net" и выберите в нем пункт "Журнал".

3. Из программного меню Windows. Нажмите на кнопку "Пуск" и выберите в ме­ню "Программы | Secret Net | Просмотр журнала событий".

Интерфейс программы просмотра журналов

После запуска программы SnLView на экране появится главное окно программы (рис. 69.).

Управление программой SnLView осуществляется с помощью команд основного ме­ню, панели инструментов и контекстного меню. Некоторые команды можно выпол­нить и с помощью "горячих" клавиш. В Табл. 35 приведен перечень кнопок панели инструментов, соответствующих им "горячих" клавиш и указано их функциональное назначение.

Рис. 69. Главное окно программы SnLView.

Табл. 20 - Кнопки панели инструментов программы SnLView

Кнопка	Горячие клавиши	Команда
	F5	Обновить отображаемые записи
	Esc	Остановить процедуру обновления
Продолжение таблицы 35
Кнопка	Горячие клавиши	Команда
	Ctri+P	Печать журнала (целиком или выделенных записей)
		Преобразовать журнал в файл (*.txt или *.mdb)
	Alt+C	Включить/выключить режим расцветки записей
	Ctri+F	Изменить параметры просмотра журнала
	Alt+Enter	Включить/выключить режим просмотра дополнительной информации в окне дополнительной информации

Краткую информацию об элементах основного меню и кнопках панели инструментов можно получить из подсказки в строке сообщений. Сообщение появляется в строке при выборе пункта меню или кнопки панели инструментов.

Основное окно программы просмотра журнала содержит два внутренних окна:

• Окно просмотра событий - для отображения списка зарегистрированных со­бытий.

• Окно дополнительной информации - для отображения информации об от­дельном событии, выбранном в окне просмотра.

Вы можете выбрать для себя удобный вид представления информации в окнах, из­меняя их положение и относительные размеры.

Окно просмотра событий

После запуска программы просмотра журнала в окне просмотра событий появится список записей о зарегистрированных событиях, организованный в виде таблицы (см. Рис. 50).

Каждая запись соответствует событию и состоит из нескольких полей, в которых отображаются его характеристики.( табл. 21.)

Названия характеристик вынесены в заголовки столбцов таблицы (например, "Тип события", "Время", "Пользователь"). Записи приводятся в порядке регистрации соответствующих им событий. При необходимости способ упорядочения записей может быть изменен (о сортировке записей см. ниже).

Таблица 21 - Характеристики событий.

Наименование поля	Содержание
Тип события	Тип события, например, "информационное сообщение" или "предупреждение"
Время	Время возникновения события
Основной пользователь	Идентификатор или имя пользователя, действия которого привели к появлению события
Компьютер	Имя компьютера, действия на котором привели к появлению события
Событие	Название и описание события
Процесс	Название процесса, в рамках которого произошло событие
Объект	Имя объекта, в результате действий с которым произошло событие

Окно дополнительной информации

В окне дополнительной информации выводится полная информация о выбранном событии. По умолчанию это окно не отображается. Включить отображе­ние этого окна можно, выбрав в основном меню пункт "Просмотр | Дополнительная информация" или нажав клавиши <Alt>+<Enter>. Отключить отображение окна до­полнительной информации можно одним из следующих способов:

• повторно выбрав в основном меню пункт "Просмотр | Дополнительная инфор­мация" или нажав клавиши <Alt>+<Enter>;

• вызвав в любом месте окна контекстное меню и выбрав в нем пункт "Закрыть".

После того как в окне просмотра журнала вы выберете запись об интересующем вас событии, в окне дополнительной информации появится полная информация о нем. В колонке "Поле" приводится список полей, которые используются для описания со­бытий, а рядом их значения (в колонке "Значение"). До тех пор пока в окне просмот­ра журнала не выделена ни одна запись, окно дополнительной информации или будет оставаться пустым, или будет содержать информацию, которая появилась в нем при последнем обновлении.

Управление положением и размером окон

В программе просмотра журнала предусмотрено несколько способов управления положением и размером окон. Это позволяет найти наиболее эффективный для ка­ждого пользователя способ организации работы с журналом.

Перемещение разделяющих границ. Вы можете подобрать удобные для себя от­носительные размеры окон, перемещая разделяющие их границы обычным приня­тым в Windows способом.

Перетаскивание окон. Окно дополнительной информации можно перемещать внут­ри главного программы. Это возможно при включенном docking режиме. Docking можно дословно перевести как "швартовка, причаливание в доке". Если вы откроете контекстное меню в этом окне, то увидите, что docking режим разрешен по умолчанию - рядом с соответствующим пунктом меню стоит отметка:

Для того чтобы перетащить вспомогательное окно на новое место подведите курсор мыши к полосе, которая располагается фазу над заголовками столбцов. Курсор должен при этом принять форму скрещенных стрелок:

Теперь нажмите на левую кнопку мыши и удерживайте ее в нажатом состоянии. Вокруг крестообразного курсора появится прямоугольный контур, имитирующий границы вспомогательного окна:

Когда он приближается к границам главного окна, меняется его форма, он как бы "причаливает" к границам главного окна, показывая новое возможное положение окна. Если такое положение вас устраивает, отпустите левую кнопку мыши, и окно разместится в новом месте.

Если же курсор вывести за границы главного окна, то окружающий его прямоугольный контур будет очерчен более толстой линией:

Если оставить вспомогательное окно в таком положении, то оно станет самостоятельным:

Над строкой заголовков столбцов появится строка заголовка окна с его названием. Можно независимо от других окон менять его положение и размер.

Если попытаться возвратить окно в границы главного окна, то оно опять начнет "прича­ливать" к внутренним границам. Окно автоматически возвратится в прежнее положе­ние, если дважды щелкнуть на его заголовке. Но если вы отмените docking режим в контекстном меню, то самостоятельное вспомогательное окно можно будет разместить даже на фоне главного окна, и эффекта "причаливания" уже не будет.

Всплывающие информационные окна

В тех случаях, когда представленная в окнах информация не помещается в них полно­стью, можно использовать вертикальную и горизонтальную полосы прокрутки или кла­виши управления курсором для пролистывания записей.

В окне просмотра событий и окне дополнительной информации действует механизм автоматического вызова подсказки к значениям записей, которые не умещаются це­ликом в отведенном для них столбце таблицы (см. Рис. 50). Для получения подсказ­ки наведите курсор на запись. Через 1-2 секунды значение записи будет целиком выведено на экран во всплывающем окне желтого цвета. Использование этого ме­ханизма позволяет экономить место на экране и получать всю необходимую ин­формацию, не изменяя размера окон и столбцов таблицы.

Типовые операции при работе с журналом

При работе с журналом можно выполнить следующие типовые операции:

1. обновить записи в окне просмотра

2. отсортировать записи

3. изменить состав и порядок отображаемых полей

4. распечатать записи журнала (целиком или выборочно)

5. удалить все записи из журнала

6. сохранить записи журнала в файле

7. провести поиск записей в журнале

Обновление записей в окне просмотра событий

Регистрация событий происходит непрерывно (согласно установленному режиму регистрации). Это может привести к тому, что в процессе работы с журналом дан­ные, отображаемые на экране, не будут соответствовать актуальному состоянию журнала безопасности. Чтобы привести в соответствие данные, отображаемые в окне программы просмотра журнала, их необходимо обновить.

Для обновления отображаемых записей:

Воспользуйтесь одним из следующих способов:

1. нажмите на клавишу <F5>;

2. нажмите на кнопку на панели инструментов;

3. выберите в основном меню "Просмотр | Повторить выборку данных".

Для сортировки записей по значениям в столбце:

Нажмите на заголовок соответствующего столбца.

Записи будут отсортированы в прямом порядке. При повторном нажатии на кнопку-заголовок записи будут отсортированы в обратном порядке.

Изменение состава и порядка отображения характеристик

В окне просмотра событий можно изменить состав отображаемых характеристик и порядок их следования. Сделать это можно одним из следующих способов:

- непосредственно в окне просмотра событий;

- с помощью диалога "Отображаемые поля".

Для управления непосредственно в окне просмотра событий:

1. Вызовите на экран журнал безопасности.

Рис. 70. Средства управления отображением полей.

Оперативное управление списком полей выполняется в строке заголовков столб­цов таблицы.

2. Определите перечень отображаемых полей, используя следующие приемы:

- Чтобы столбец не отображался, совместите указатель мыши с его заголовком, вызовите контекстное меню и выберите в нем пункт "Не показывать поле".

- Чтобы определить перечень отображаемых полей, совместите указатель мыши со строкой заголовка таблицы, вызовите контекстное меню и выбери­те пункт "Список полей". Раскрывшееся подменю содержит полный список наименований столбцов. Установите отметки рядом с наименованиями тех столбцов, которые должны отображаться в окне просмотра.

3. Укажите порядок следования столбцов в таблице. Для этого нажмите на кнопку-заголовок столбца и, удерживая ее в нажатом положении, переместите в нужное место таблицы.

Ряд команд контекстного меню заголовка-столбца предназначены для выбора удобного отображения данных в ячейках таблицы.

Для управления при помощи диалога "Отображаемые поля":

1. Выберите в основном меню пункт "Просмотр | Параметры просмотра" (или на­жмите клавиши <Ctrl>+<F>). На экране появится диалог:

Рис. 71. Диалог "Отображаемые поля".

В списке "Показать поля в порядке" приводится перечень тех столбцов, которые будут отображаться в окне просмотра. Порядок элементов списка соответствует порядку отображения соответствующих им столбцов. Перечень других полей, доступных для журнала, но не отображаемых в окне просмотра приводится в списке "Доступные поля".

2. Составьте список отображаемых в журнале полей.

- Если хотите использовать стандартный набор полей, который по умолчанию предлагает программа просмотра журналов, нажмите кнопку "Стандарт".

- Если хотите сформировать нестандартный список, переместите нужные по­ля из списка "Доступные поля" в список "Показывать поля в порядке" с по­мощью кнопок для формирования списка.

3. Укажите порядок следования полей в журнале. Для этого выберите имя поля в списке "Показать поля в порядке" и с помощью кнопок "Вверх" и "Вниз" установи­те желаемое положение поля, имея в виду, что верхнему полю списка соответ­ствует первый столбец в журнале.

4. Нажмите кнопку "ОК" для сохранения сделанных изменений.

После этого обновится информация, отображаемая в окне просмотра журнала.

Для распечатки записей:

1. Если требуется распечатать часть записей, выделите их. При выделении запи­сей используйте клавиши <Ctrl> или <Shift>. Если вы хотите распечатать все за­писи, выделять их не требуется.

2. Передайте задание на печать:

- для печати выделенных записей, вызовите контекстное меню и выберите в нем пункт "Печать";

- для печати всех записей выберите в основном меню "Файл | Печать" или на­жмите на соответствующую кнопку на панели инструментов.

3. Установите необходимые параметры печати.

Для изменения характеристик шрифта нажмите на кнопку "Изменить". После этого на экране появится стандартный диалог настройки шрифта. Выберите же­лаемый шрифт и укажите другие его характеристики. Нажмите на кнопку "ОК" для возврата к диалогу "Печать журнала".

Для предварительного просмотра выводимой на печать информации нажми­те на кнопку "Предварительный просмотр". На экране появится стандартный диалог предварительного просмотра ОС Windows:

Используйте кнопки окна предварительного просмотра для перелистывания страниц журнала, выбора режима просмотра и последующей печати.

4. Если вид выводимой на печать информации вас устраивает, нажмите на кнопку "Печать". Задание будет отправлено на печать.

На экране появится стандартный диалог печати Windows.

5. Укажите необходимые параметры печати, настройте свойства принтера и на­жмите кнопку "ОК" для запуска печати.

В программе просмотра журнала предусмотрена возможность удаления всех запи­сей из журнала безопасности.

Для очистки журнала:

1. Откройте журнал.

2. Выберите пункт меню "Редактирование | Очистить журнал". На экране появится запрос на очистку журнала.

3. Нажмите кнопку "Да" в окне запроса.

Все записи будут удалены из журнала, а на экране появится сообщение об окончании удаления записей и запрос на проведение новой выборки данных из журнала.

4. Для выполнения повторной выборки нажмите кнопку "Да".

В окне просмотра появится одна запись о событии "Очистка журнала аудита".

Записи журнала событий можно сохранить в текстовый файл (*.txt) или в файл Mi­crosoft Access (*.mdb). Сохранить можно как любую выделенную часть записей, так и все имеющиеся записи журнала.

Для сохранения записей журнала в файле:

1. Откройте журнал.

2. Для сохранения части записей выделите их с помощью мыши и клавиш <Ctrl> или <Shift>. (Для сохранения всех записей сразу перейдите к пункту 3).

3. Выберите в меню "Файл | Преобразование журнала" (или нажмите кнопку. на панели инструментов.

На экране появится стандартный для ОС Windows диалог сохранения файла.

4. Укажите каталог, имя файла, его тип (+.mdb или *.txt) и нажмите на кнопку "Сохранить".

При сохранении записей журнала в файл формата Microsoft Access (*.mdb) ни­каких сообщений на экран не выводится. Если же предполагается сохранить за­писи в файл текстового формата, то на экране появится диалог для выбора параметров сохранения:

Рис. 72. Диалог для управления параметрами сохранения.

5. Укажите необходимые параметры:

- В поле "Ширина таблицы" укажите, какое количество символов (от 50 до 1000) будет помещаться в каждой строке текстового файла. Если количество симво­лов в строке записи журнала окажется большим, чем указано в поле "Шири­на таблицы" для файла "*.txt", то программа либо "обрежет" строки длиннее указанных, либо перенесет символы в следующую строку. Для переноса симво­лов в следующую строку оставьте пустым поле "Обрезать длинные строки".

- Для сохранения всех записей журнала установите отметку в поле "Все записи", для сохранения только предварительно выделенных записей отметьте поле "Только выбранные записи".

- Для просмотра файла сразу после его создания поставьте отметку в поле "Просмотреть после создания". Для просмотра используется Notepad ("Блок­нот") - текстовый редактор ОС Windows.

6. Нажмите кнопку "ОК". Записи журнала будут записаны в файл.

Если вы установили режим просмотра текстового файла, то он будет открыт в окне программы "Блокнот":

Рис. 96 - Просмотр результатов преобразования.

В остальных случаях никакая дополнительная информация на экран выводиться не будет.

Для поиска записи по образцу, заданному пользователем:

1. Откройте журнал безопасности для просмотра событий.

2. Расположите указатель мыши в той колонке окна просмотра, среди значений ко­торой будет проводиться поиск, и нажмите правую кнопку мыши.

В появившемся контекстном меню выберите пункт "Поиск строки".

На экране появится диалог, содержащий поле для ввода строки символов.

3. Введите строку поиска с клавиатуры или вставьте ее из буфера обмена.

4. После того как искомый набор символов введен, нажмите на клавишу <Enter> для завершения ввода.

Поиск будет проводиться только среди значений той колонки, из которой вызва­но контекстное меню. Записи будут просматриваться в порядке их отображения в окне просмотра сверху вниз, начиная с текущей.

- В том случае, если искомая запись отсутствует, на экране появится сообще­ние об окончании поиска и запрос на его повторение. Нажмите в окне запро­са на кнопку "Повторить" для возобновления поиска, начиная с первой строки журнала (или нажмите на кнопку "Отмена" для прекращения поиска).

- Если запись найдена, она будет выделена цветом. Для продолжения поиска записей, содержащих искомую строку, воспользуйтесь одним из следующих способов:

1. Нажмите клавишу <F3>.

2. Выберите из контекстного меню пункт "Повторить поиск", который поя­вился после выполнения первого поиска.

3. Выберите "Просмотр | Повторить поиск" в основном меню.

Для поиска записи с использованием значения в качестве образца:

1. Совместите указатель мыши с нужным значением в одном из столбцов журнала (например, "TEST_WS1").

2. Вызовите контекстное меню.

На экране появится контекстное меню:

Обратите внимание на две нижние строки меню:

"Найти запись, содержащую <TEST_WS1>" и "Найти запись, не содержащую <TEST_WS1>".

В треугольные скобки (<TEST_WS1>) заключена строка символов, которая вы­брана в качестве образца для поиска.

3. Выберите пункт меню "Найти запись, содержащую <TEST_WS1>".