- •Оглавление
- •Введение
- •Системные журналы
- •Права доступа к системным журналам
- •Регистрируемая информация
- •Журнал событий
- •Журнал НСД
- •Системный журнал
- •Журнал аудита
- •Журнал конфликтов обратной синхронизации
- •Классификация событий
- •Категории событий
- •Источники событий
- •Программа просмотра журналов
- •Запуск программы
- •Запуск из программы Администратор
- •Запуск из программы мониторинга
- •Запуск из командной строки
- •Интерфейс программы
- •Управление дополнительным окном
- •Настройка отображения панели инструментов и строки сообщений
- •Настройка отображения записей
- •Выборка записей
- •Настройка параметров выборки
- •Настройка основных параметров
- •Настройка дополнительных параметров
- •Повторная выборка записей журнала
- •Обновление выборки
- •Выборка с другими параметрами
- •Вызов нового окна для выборки записей
- •Выбор журнала для просмотра записей
- •Использование шаблонов настройки
- •Сохранение шаблона
- •Настройка параметров по шаблону
- •Принудительная остановка процесса выборки
- •Работа с записями
- •Управление колонками таблицы записей
- •Оперативное управление
- •Настройка параметров просмотра
- •Сортировка записей
- •Оперативная сортировка
- •Настройка параметров сортировки
- •Поиск записей в выборке
- •Оперативный поиск
- •Настройка параметров поиска
- •Повтор поиска
- •Печать записей
- •Сохранение записей в файл
- •Удаление записей
- •Семантическое сжатие Журнала событий
- •Принципы действия и основные понятия семантического сжатия
- •Программа редактирования правил сжатия
- •Запуск программы
- •Интерфейс программы
- •Список правил
- •Список прототипов
- •Основные принципы работы с правилами сжатия
- •Создание правила сжатия
- •Создание правила с автоматическим добавлением прототипов
- •Создание правила, не содержащего прототипы
- •Редактирование списка прототипов правила
- •Добавление прототипа
- •Настройка параметров прототипа
- •Удаление прототипа
- •Объединение нескольких прототипов в один
- •Подготовка правила к использованию
- •Настройка параметров правила
- •Активирование правила
- •Удаление правила
- •Сохранение сделанных изменений
- •Обновление списка правил
- •Запуск процесса семантического сжатия
- •Настройка параметров расписания запуска
- •Немедленный запуск
- •Обработка конфликтов обратной синхронизации
- •Автоматическое устранение конфликтов
- •Программа обработки конфликтов
- •Запуск программы
- •Интерфейс программы
- •Сведения о конфликтах
- •Устранение конфликтов
- •Обновление списка конфликтов
- •Приложение
- •Поля записей журналов
- •Категории регистрируемых событий
- •Источники событий
- •Объекты для контекстной выборки записей
- •Элементы интерфейса и приемы работы
- •Перемещение границы между внутренними окнами
- •Диалог "Календарь"
- •Диалог "Расписание"
- •Предметный указатель
Глава 5. Семантическое сжатие Журнала событий
2.Отметьте имена событий, которые необходимо включить в прототип (чтобы отметить событие, подведите к нему курсор и дважды нажмите левую кнопку мыши). При необходимости можно отметить несколько событий.
Не следует отмечать слишком много событий для одного прототипа. Различные события можно распределить по нескольким прототипам, что улучшит наглядность представления информации в таблице прототипов.
Удаление прототипа
Чтобы удалить прототип, вызовите его контекстное меню и активизируйте команду “Удалить прототип”. Выбранный прототип будет немедленно удален из списка прототипов текущего правила сжатия.
Объединение нескольких прототипов в один
Два и более прототипа, входящих в правило сжатия, могут быть объединены в один прототип (в текущей реализации не используется). Эта операция полезна в тех случаях, когда правило содержит несколько различных прототипов со схожими условиями.
При объединении прототипов формирование результирующего прототипа происходит следующим образом:
4названия событий объединяемых прототипов помещаются в поле “События” результирующего прототипа;
6значения поля “Повтор” суммируются. При этом численные значения складываются между собой. Если в каком-либо из объединяемых прототипов присутствует условие повтора “>=”, поле “Повтор” результирующего прототипа будет содержать это же условие. Иначе – условие “=”. Например, если объединяются два прототипа, имеющие в поле “Повтор” значения “=1” и “>=4”, для результирующего прототипа будет установлено значение “>=5”;
7остальные поля прототипа принимают значения одноименных полей первого из объединяемых прототипов.
Для объединения прототипов:
1.Выделите группу прототипов, удерживая нажатой клавишу <Ctrl> или <Shift>.
2.Вызовите контекстное меню одного из выделенных прототипов и активизируйте команду “Объединить прототипы”.
Результирующий прототип займет место первого из прототипов в выделенной группе.
Подготовка правила к использованию
После того, как сформирован набор необходимых прототипов записей, осуществляется окончательная подготовка правила к использованию. Для этого выполняются следующие операции:
•настройка параметров правила;
•активирование правила.
После выполнения этих действий необходимо сохранить изменения в ЦБД системы защиты (см. стр. 55). Иначе эти изменения будут утеряны без возможности восстановления.
53
Система Secret Net. Руководство по администрированию. Книга третья
Настройка параметров правила
Настройка параметров правила сжатия выполняется на этапе создания (см. стр. 48). Однако при необходимости эти параметры могут быть изменены.
Для настройки параметров правила:
1.Вызовите контекстное меню правила сжатия и активизируйте команду “Редактировать правило…”. На экране появится следующий диалог:
Рис. 25 Диалог настройки параметров правила сжатия
2.Отредактируйте нужные параметры. Изменение значений полей диалога осуществляется так же, как и при создании правила (см. стр. 49).
3.Нажмите кнопку “OK”.
Активирование правила
Сжатие Журнала событий осуществляется только по “активным” правилам. Правило является активным, если оно отмечено в ячейке первой колонки таблицы правил (колонка “Правило активно” – см. Табл. 3 на стр. 46).
Для активирования правила сжатия:
1.Выберите нужное правило в таблице правил.
2.Выполните одно из следующих действий:
•нажмите кнопку “Активировать правило” (кнопка заблокирована, если правило является активным);
•подведите курсор к ячейке первой колонки и установите отметку, нажав левую кнопку мыши;
•активизируйте в меню “Действия” команду “Активировать правило” (команда заблокирована, если правило является активным);
•вызовите контекстное меню правила и активизируйте команду “Активировать” (команда отсутствует, если правило является активным).
Для отключения активности правила:
1.Выберите нужное правило в таблице правил.
2.Выполните одно из следующих действий:
•нажмите кнопку “Деактивировать правило” (кнопка заблокирована, если правило не является активным);
•подведите курсор к ячейке первой колонки и удалите отметку, нажав левую кнопку мыши;
54