Глава 5. Семантическое сжатие Журнала событий
Колонка |
Назначение |
Процесс |
Шаблон имени процесса, содержащегося в поле “Процесс” сжимае- |
|
мыхзаписей. |
Повтор |
Количество повторов записей журнала, удовлетворяющихпрототи- |
|
пу. |
Пользователь |
Имя пользователя, которое должно содержаться в поле “Пользова- |
|
тель” сжимаемыхзаписей. |
Основные принципы работы с правилами сжатия
Процесс создания и настройки правила сжатия требует понимания того, какая информация Журнала событий должна быть сжата. Для анализа этой информации необходимо выполнить выборку записей журнала за определенный промежуток времени. Если в выборке присутствуют одинаковые группы записей (относящиеся, например, к многократным запускам текстового редактора Winword), для их сжатия может быть создано отдельное правило.
В большинстве случаев наиболее удобно создать новое правило на основе самой группы записей (см. стр. 48). При использовании такого способа программа автоматически осуществит настройку основных параметров нового правила и добавит нужные прототипы записей.
Чтобы сжатие записей осуществлялось по определенному правилу, его необходимо активировать и сохранить изменения в ЦБД. При следующем запуске процесса семантического сжатия (см. стр. 55) соответствующие группы записей Журнала событий будут заменены. Для просмотра “сжатого” журнала выполните выборку в программе просмотра журналов.
Сведения о выполнении семантического сжатия сохраняются в Системном журнале. Чтобы получить необходимую информацию, выполните выборку записей этого журнала. Для каждого правила, по которому произошло сжатие записей, регистрируется отдельное событие “Успешное применение правила семантического сжатия”. Если выделить такую запись в выборке, в дополнительном окне будут показаны результаты сжатия по соответствующему правилу. Сведения содержат название правила и количество замененных по нему записей.
Если результаты действия какого-либо правила сжатия не удовлетворяет исходной задаче, параметры правила могут быть изменены. Для этого в программе редактирования правил сжатия выделите соответствующее правило и отредактируйте его список прототипов. Используйте следующие возможности:
•добавление новых прототипов – см. стр. 50;
•изменение параметров прототипов – см. стр. 50;
•удаление лишних прототипов записей – см. стр. 53.
Результирующие записи, созданные в Журнале событий после семантического сжатия, отличаются от остальных только тем, что для них указан особый источник возникновения события – “SemanticCompression”. Чтобы в дальнейшем избежать появления “непонятных” записей в журнале, желательно четко и содержательно определять имя результирующего события, а также его категорию. Измените эти сведения, если они определены недостаточно правильно (см. стр. 53).
Количество активных правил сжатия не должно быть слишком большим. При непомерном увеличении числа правил имеет смысл пересмотреть политику безопасности в части, касающейся объема регистрируемых событий (см. документ “Secret
Net. Подсистема управления. Руководство по администрированию. Книга первая”).
47