Система Secret Net. Руководство по администрированию. Книга третья
Редактирование списка прототипов правила
Каждое правило сжатия содержит определенную последовательность прототипов записей. Для работы с прототипами выделите нужное правило сжатия в таблице правил. В таблице прототипов будут отображены соответствующие этому правилу прототипы.
Изменения прототипов правила необходимо сохранить в ЦБД системы защиты (см. стр. 55). Иначе эти изменения будут утеряны без возможности восстановления.
Добавление прототипа
Добавление новых прототипов осуществляется в конец текущего списка прототипов правила сжатия.
Для добавления прототипа:
1.Вызовите контекстное меню таблицы прототипов и активизируйте команду “Добавить прототип…”. На экране появится следующее окно настройки.
Рис. 23 Окно настройки параметров прототипа. Диалог “Прототип”
2.В диалогах окна настройки установите нужные значения параметров прототипа. Процедуры настройки параметров описаны в следующем разделе.
3.Нажмите кнопку “OK”.
Настройка параметров прототипа
Настройка параметров прототипа осуществляется в специальном окне настройки (см. Рис. 23). Вызов окна настройки параметров происходит:
•при добавлении прототипа в правило сжатия;
•при активизации в контекстном меню прототипа команды “Редактировать прототип…”
50
Глава 5. Семантическое сжатие Журнала событий
Для установки числа записей, удовлетворяющих прототипу:
Используйте группу полей “Повторить”. Варианты ограничения количества повторяющихся записей перечислены в Табл. 5. Колонка “Условие” содержит названия переключателей. В колонке “Значение” указаны значения, отображаемые в колонке “Повтор” таблицы прототипов.
Табл. 5. Условия повтора записей
Условие |
Значение |
Описание |
“Указанное число |
= введенное_число |
Количество повторяющихся записей журнала |
раз” |
|
должно быть равно введенному числу. |
“Указанное число и |
>= введенное_число |
Количество повторяющихся записей журнала |
более раз” |
|
должно быть не менее введенного числа. При |
|
|
этом условии переход к следующему прото- |
|
|
типу (или завершение распознавания прави- |
|
|
ла, если данный прототип является |
|
|
последним) осуществляется со следующей |
|
|
записи, не удовлетворяющей данному прото- |
|
|
типу. |
Для установки условий на содержимое полей “Процесс” и “Объект” в записях журнала:
Используйте группы полей “Процесс” и “Объект”. Если имя процесса или объекта может быть любым, установите отметку в поле “Не задан”. Чтобы ввести шаблон имени, установите отметку в поле “По шаблону” или в поле “По вхождению” (в последнем случае введенная строковая константа может являться частью содержимого соответствующего поля записей). Поле ввода строковой константы станет доступно для изменения. Для ввода строковой константы допускается использовать следующие символы:
Табл. 6. Подстановочные символы шаблона
Символ |
Назначение |
Пример |
? |
Любой один символ |
Строковой константе “Test?String” удовлетворяют |
|
|
строки “Test_String” и “Test-String”, но не удовлетворя- |
|
|
ет строка “Test1_Srting” |
* |
Любые несколько сим- |
Строковой константе “T*g” удовлетворяют строки |
|
волов |
“Test_String” и “Testing” |
, |
Разделение нескольких |
Набору строковыхконстант “Test,Srting” удовлетворя- |
|
строковыхконстант |
ют строки “Test” и “String”, но не удовлетворяет строка |
|
|
“Test_String” |
[ ] |
Любой из символов, |
Строковой константе “Test[12]_String” удовлетворяют |
|
указанныхв скобках |
строки “Test1_String” и “Test2_String”, но не удовле- |
|
|
творяет строка “Test12_String” |
[ - ] |
Любой из диапазона |
Строковой константе “[A-Z]est_String” удовлетворяют |
|
символов, начало и ко- |
строки “Best_String” и “Test_String”, но не удовлетво- |
|
нец которого указаны в |
ряет строка “test_String” |
|
скобках |
|
[! ] |
Любой символ, кроме |
Строковой константе “Test[!12]_String” удовлетворяет |
|
указанныхв скобках |
строка “Test3_String”, но не удовлетворяют строки |
|
|
“Test1_String” и “Test2_String” |
[! - ] |
Любой символ, не вхо- |
Строковой константе “[!A-Z]est_String” удовлетворяет |
|
дящий в диапазон сим- |
строка “test_String”, но не удовлетворяют строки |
|
волов, начало и конец |
“Best_String” и “Test_String” |
|
которого указаны в |
|
|
скобках |
|
\ |
Следующий символ не |
Строковой константе “Test\*” удовлетворяет только |
|
рассматривается в ка- |
строка “Test*”. |
|
честве подстановочного |
|
51
Система Secret Net. Руководство по администрированию. Книга третья
В примере на Рис. 23 прототипу удовлетворяют записи, содержащие в поле “Процесс” значение User32, а значение поля “Объект” может быть любым.
Для установки условий на содержимое полей “Компьютер” и “Пользователь” в записях журнала:
Выберите нужное значение в полях “Компьютер” и “Пользователь”. Если имя компьютера (пользователя) может быть любым, выберите значение <нет>. Раскрывающийся список содержит имена всех компьютеров (пользователей), зарегистрированных в системе защиты.
Дополнительные параметры прототипа
Если установлена отметка в поле выключателя “Перенос параметров”, то в результирующей записи поле “Объект” будет содержать значение одноименного поля первой удовлетворяющей данному прототипу записи журнала. Чтобы этого не происходило, удалите отметку из поля “Перенос параметров”. (В текущей реализа-
ции не используется.)
Если установлена отметка в поле выключателя “Использование имени объекта из записи”, то во все прототипы правила, имеющие незаполненное поле “Объект”, в процессе семантического сжатия будут внесены изменения. В поле “Объект” каждого прототипа будет занесено содержимое одноименного поля первой же найденной в процессе сжатия записи, удовлетворяющей данному прототипу. (В текущей реа-
лизации не используется.)
Для добавления событий в прототип:
1.Активизируйте закладку “События”. В окне настройки появится следующий диалог:
Рис. 24 Окно настройки параметров прототипа. Диалог “События”
События распределены по источникам возникновения. Список организован в виде иерархического дерева.
52