Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
108
Добавлен:
02.05.2014
Размер:
2.3 Mб
Скачать

Система Secret Net. Руководство по администрированию. Книга третья

Создание правила сжатия

Правило семантического сжатия может быть создано следующими способами:

на основе выборки записей Журнала событий – при таком способе в правило будут автоматически добавлены прототипы записей;

в программе редактирования правил сжатия – после создания правила необходимо самостоятельно добавить нужные прототипы (см. стр. 50).

Все изменения следует сохранить в ЦБД системы защиты (см. стр. 55). Иначе эти изменения будут утеряны без возможности восстановления.

Создание правила с автоматическим добавлением прототипов

Автоматическое добавление прототипов в правило сжатия может осуществляться только при создании правила на основе выборки записей Журнала событий. Принцип добавления прототипов состоит в том, что для каждой выделенной записи будет создан отдельный соответствующий прототип. Первым станет прототип, созданный на основе выделенной записи с самым ранним временем возникновения события. Порядок следования остальных прототипов также определяется временем возникновения событий.

Для создания правила:

1.В программе просмотра журналов выполните выборку записей Журнала событий, добавленных за определенный промежуток времени. По умолчанию выборка отсортирована по содержимому колонки “Дата/Время”. Если записи были упорядочены по значениям других полей, выполните сортировку по содержимому указанной колонки (см. стр. 36).

2.Выделите группу записей, на основе которых будет создано правило. Для этого последовательно выделяйте записи, удерживая нажатой клавишу <Ctrl> или

<Shift>.

Выбранные записи должны удовлетворять следующим условиям:

выделенный фрагмент не содержит пропусков (записи следуют подряд);

колонка “Архив” не содержит значений (т. е. записи не являются архивными);

записи имеют одно и то же значение в колонке “Компьютер” (т. е. не относятся к разным компьютерам);

записи имеют одно и то же значение в колонке “Источник” (т. е. события имеют один источник возникновения – см. Табл. 15 Приложения к руководству).

3.Выполните одно из следующих действий:

в меню “Редактирование” активизируйте команду “Формировать правило сжатия”;

вызовите контекстное меню одной из выделенных записей и активизируйте указанную команду.

На экране появится следующий диалог:

48

Глава 5. Семантическое сжатие Журнала событий

Рис. 21 Диалог настройки параметров правила сжатия

4.В поле “Имя события:” введите имя, которое после семантического сжатия будет указано в поле “Событие” результирующей записи. Максимальная длина имени

– 255 символов. В поле “Категория:” укажите категорию события, которая будет присвоена результирующей записи (перечень категорий событий см. в Табл. 13

Приложения к руководству). Введите дополнительную информацию о правиле сжатия в поле “Описание:”. Длина описания ограничена 255 символами.

5. Нажмите кнопку “ОК”.

Создание правила, не содержащего прототипы

Для создания правила:

1.В программе редактирования правил сжатия вызовите контекстное меню таблицы правил. Активизируйте команду “Добавить правило…”. На экране появится следующий диалог:

Рис. 22 Диалог настройки параметров правила сжатия

2. В поле “Имя события:” введите имя, которое после семантического сжатия будет указано в поле “Событие” результирующей записи. Максимальная длина имени

– 255 символов. В поле “Категория:” укажите категорию события, которая будет присвоена результирующей записи (перечень категорий событий см. в Табл. 13 Приложения к руководству).

В поле “Пространство имен:” укажите тип пространства имен, для которого предназначено правило. Введите дополнительную информацию о правиле сжатия в поле “Описание события:”. Длина описания ограничена 255 символами.

3. Нажмите кнопку “ОК”.

49