- •Оглавление
- •Введение
- •Системные журналы
- •Права доступа к системным журналам
- •Регистрируемая информация
- •Журнал событий
- •Журнал НСД
- •Системный журнал
- •Журнал аудита
- •Журнал конфликтов обратной синхронизации
- •Классификация событий
- •Категории событий
- •Источники событий
- •Программа просмотра журналов
- •Запуск программы
- •Запуск из программы Администратор
- •Запуск из программы мониторинга
- •Запуск из командной строки
- •Интерфейс программы
- •Управление дополнительным окном
- •Настройка отображения панели инструментов и строки сообщений
- •Настройка отображения записей
- •Выборка записей
- •Настройка параметров выборки
- •Настройка основных параметров
- •Настройка дополнительных параметров
- •Повторная выборка записей журнала
- •Обновление выборки
- •Выборка с другими параметрами
- •Вызов нового окна для выборки записей
- •Выбор журнала для просмотра записей
- •Использование шаблонов настройки
- •Сохранение шаблона
- •Настройка параметров по шаблону
- •Принудительная остановка процесса выборки
- •Работа с записями
- •Управление колонками таблицы записей
- •Оперативное управление
- •Настройка параметров просмотра
- •Сортировка записей
- •Оперативная сортировка
- •Настройка параметров сортировки
- •Поиск записей в выборке
- •Оперативный поиск
- •Настройка параметров поиска
- •Повтор поиска
- •Печать записей
- •Сохранение записей в файл
- •Удаление записей
- •Семантическое сжатие Журнала событий
- •Принципы действия и основные понятия семантического сжатия
- •Программа редактирования правил сжатия
- •Запуск программы
- •Интерфейс программы
- •Список правил
- •Список прототипов
- •Основные принципы работы с правилами сжатия
- •Создание правила сжатия
- •Создание правила с автоматическим добавлением прототипов
- •Создание правила, не содержащего прототипы
- •Редактирование списка прототипов правила
- •Добавление прототипа
- •Настройка параметров прототипа
- •Удаление прототипа
- •Объединение нескольких прототипов в один
- •Подготовка правила к использованию
- •Настройка параметров правила
- •Активирование правила
- •Удаление правила
- •Сохранение сделанных изменений
- •Обновление списка правил
- •Запуск процесса семантического сжатия
- •Настройка параметров расписания запуска
- •Немедленный запуск
- •Обработка конфликтов обратной синхронизации
- •Автоматическое устранение конфликтов
- •Программа обработки конфликтов
- •Запуск программы
- •Интерфейс программы
- •Сведения о конфликтах
- •Устранение конфликтов
- •Обновление списка конфликтов
- •Приложение
- •Поля записей журналов
- •Категории регистрируемых событий
- •Источники событий
- •Объекты для контекстной выборки записей
- •Элементы интерфейса и приемы работы
- •Перемещение границы между внутренними окнами
- •Диалог "Календарь"
- •Диалог "Расписание"
- •Предметный указатель
Система Secret Net. Руководство по администрированию. Книга третья
Создание правила сжатия
Правило семантического сжатия может быть создано следующими способами:
•на основе выборки записей Журнала событий – при таком способе в правило будут автоматически добавлены прототипы записей;
•в программе редактирования правил сжатия – после создания правила необходимо самостоятельно добавить нужные прототипы (см. стр. 50).
Все изменения следует сохранить в ЦБД системы защиты (см. стр. 55). Иначе эти изменения будут утеряны без возможности восстановления.
Создание правила с автоматическим добавлением прототипов
Автоматическое добавление прототипов в правило сжатия может осуществляться только при создании правила на основе выборки записей Журнала событий. Принцип добавления прототипов состоит в том, что для каждой выделенной записи будет создан отдельный соответствующий прототип. Первым станет прототип, созданный на основе выделенной записи с самым ранним временем возникновения события. Порядок следования остальных прототипов также определяется временем возникновения событий.
Для создания правила:
1.В программе просмотра журналов выполните выборку записей Журнала событий, добавленных за определенный промежуток времени. По умолчанию выборка отсортирована по содержимому колонки “Дата/Время”. Если записи были упорядочены по значениям других полей, выполните сортировку по содержимому указанной колонки (см. стр. 36).
2.Выделите группу записей, на основе которых будет создано правило. Для этого последовательно выделяйте записи, удерживая нажатой клавишу <Ctrl> или
<Shift>.
Выбранные записи должны удовлетворять следующим условиям:
•выделенный фрагмент не содержит пропусков (записи следуют подряд);
•колонка “Архив” не содержит значений (т. е. записи не являются архивными);
•записи имеют одно и то же значение в колонке “Компьютер” (т. е. не относятся к разным компьютерам);
•записи имеют одно и то же значение в колонке “Источник” (т. е. события имеют один источник возникновения – см. Табл. 15 Приложения к руководству).
3.Выполните одно из следующих действий:
•в меню “Редактирование” активизируйте команду “Формировать правило сжатия”;
•вызовите контекстное меню одной из выделенных записей и активизируйте указанную команду.
На экране появится следующий диалог:
48
Глава 5. Семантическое сжатие Журнала событий
Рис. 21 Диалог настройки параметров правила сжатия
4.В поле “Имя события:” введите имя, которое после семантического сжатия будет указано в поле “Событие” результирующей записи. Максимальная длина имени
– 255 символов. В поле “Категория:” укажите категорию события, которая будет присвоена результирующей записи (перечень категорий событий см. в Табл. 13
Приложения к руководству). Введите дополнительную информацию о правиле сжатия в поле “Описание:”. Длина описания ограничена 255 символами.
5. Нажмите кнопку “ОК”.
Создание правила, не содержащего прототипы
Для создания правила:
1.В программе редактирования правил сжатия вызовите контекстное меню таблицы правил. Активизируйте команду “Добавить правило…”. На экране появится следующий диалог:
Рис. 22 Диалог настройки параметров правила сжатия
2. В поле “Имя события:” введите имя, которое после семантического сжатия будет указано в поле “Событие” результирующей записи. Максимальная длина имени
– 255 символов. В поле “Категория:” укажите категорию события, которая будет присвоена результирующей записи (перечень категорий событий см. в Табл. 13 Приложения к руководству).
В поле “Пространство имен:” укажите тип пространства имен, для которого предназначено правило. Введите дополнительную информацию о правиле сжатия в поле “Описание события:”. Длина описания ограничена 255 символами.
3. Нажмите кнопку “ОК”.
49