Система Secret Net. Руководство по администрированию. Книга третья

Принципы действия и основные понятия семантического сжатия

Записи Журнала событий могут быть подвергнуты “сжатию”, если они имеют общее семантическое (т. е. смысловое) содержание. Это действие приводит к уменьшению объема журнала и позволяет улучшить наглядность представления данных.

В результате семантического сжатия происходит объединение записей о взаимосвязанных событиях. Каждый набор объединяемых записей замещается в журнале новой записью, которая характеризует данный набор. Например: при запуске текстового редактора Winword происходит загрузка определенного количества библиотек. Это приводит к регистрации в журнале нескольких записей, имеющих отношение только к процессу запуска редактора. Поэтому данный набор записей можно заменить одной записью: “Запуск редактора Word”.

Семантическое сжатие является необратимым преобразованием, то есть преобразование “журнал → семантически сжатый журнал” возможно, а обратное преобразование – нет. Это означает, что “сжатый” журнал нельзя вернуть к первоначальному состоянию.

Семантическое сжатие выполняется по специальным правилам сжатия. Каждое правило предназначено для поиска и замены в журнале определенного набора записей. Формирование необходимых правил осуществляется на основе анализа записей, добавленных в журнал за некоторый промежуток времени.

В правилах сжатия записям журнала сопоставлены прототипы записей. Прототип представляет собой совокупность условий, которым должны удовлетворять записи. Если некоторый набор записей журнала соответствует всем прототипам правила, эти записи подвергаются сжатию.

Процесс сжатия записей может осуществляться по нескольким правилам одновременно. Поэтому возможна ситуация, при которой одна и та же группа записей подпадает под действие нескольких правил. В этом случае программа выберет то правило, которое обеспечивает большую степень сжатия, и осуществит преобразование журнала в соответствии с ним. Например, если правило N1 позволяет сжать 10 записей, а правило N2 - только 7 из них, то сжатие будет выполнено в соответствии с правилом N1.

Программа редактирования правил сжатия

Информация о правилах сжатия хранится в ЦБД системы защиты. Для загрузки и обработки этой информации предназначена программа редактирования правил сжатия. Данная программа позволяет создавать и удалять правила, настраивать параметры, а также осуществлять запуск процесса семантического сжатия.

Запуск программы

В зависимости от того, какая роль назначена сотруднику в управлении системой защиты, используется один из следующих способов запуска программы редактирования правил сжатия:

•если сотруднику назначена роль Аудитор системы защиты или Оператор системы защиты – следует запустить на исполнение файл

\Program Files\Infosec\Admin\CompressionRulesEditor.exe

(при условии, что для установки подсистемы управления не был указан другой каталог);

•если сотруднику назначена роль Администратор безопасности – он может использовать предыдущий способ или осуществлять запуск из программы Администратор.

44

Глава 5. Семантическое сжатие Журнала событий

Для запуска из программы Администратор:

1.Вызовите программу Проводник.

2.Выберите в левом окне Проводника любой из структурных элементов папки “Secret Net” или саму папку. На панели инструментов Проводника появятся кнопки управления программы Администратор.

Кнопки управления программы

Администратор

Рис. 19 Окно программы Проводник

3.Нажмите кнопку “Журнал” и в появившемся меню активизируйте команду “Правила семантического сжатия”.

Интерфейс программы

Окно программы редактирования правил сжатия имеет вид:

Панель

инструментов

Таблица

правил

Таблица

прототипов

Строка сообщений

Рис. 20 Окно программы редактирования правил сжатия

Окно программы состоит из следующих частей:

•таблица правил (вверху) – содержит список имеющихся правил семантического сжатия;

•таблица прототипов (внизу) – отображает список прототипов, из которых состоит правило, выбранное в таблице правил.

45

Система Secret Net. Руководство по администрированию. Книга третья

Таблица правил и таблица прототипов разделены внутренней границей. Операция по перемещению разделяющей границы является стандартной и описана в Приложении (см. стр. 70).

Панель инструментов

По умолчанию панель инструментов отображается в верхней части окна программы. Для отключения панели активизируйте в меню “Вид” команду “Панель инструментов”. Чтобы включить отображение панели, используйте ту же команду. (Данная команда отмечена, если панель отображается в окне программы.)

Кнопки панели инструментов могут быть выстроены вдоль других границ основного окна. Кроме того, допускается поместить отдельное окно с кнопками панели в любом месте экрана. Перемещение панели инструментов осуществляется стандартными способами, принятыми в среде Windows для управления окнами и панелями.

Строка сообщений

По умолчанию в нижней части основного окна программы отображается строка сообщений. Для ее отключения активизируйте в меню “Вид” команду “Строка состояния”. Чтобы включить отображение строки, используйте ту же команду. (Данная команда отмечена, если строка сообщений отображается в окне программы.)

Список правил

Список правил оформлен в табличной форме. Сведения отображаются в колонках, перечисленных в Табл. 3.

Табл. 3. Колонки таблицы правил

Список прототипов

Список прототипов оформлен в табличной форме. Сведения отображаются в колонках, перечисленных в Табл. 4.

Табл. 4. Колонки таблицы прототипов

46