Приложение
В приложении содержится информация:
•Перечень полей, из которых состоят записи журналов регистрации
•Перечень категорий и источников регистрируемых событий
•Для каких объектов допускается контекстный вызов записей журналов
•О типовых элементах интерфейса и основных приемах работы
63
Система Secret Net. Руководство по администрированию. Книга третья
Поля записей журналов
Табл. 9. Перечень полей, составляющих запись Журнала событий
|
|
Поле |
|
Пояснения |
|
|
Идентификатор категории |
|
Порядковый номер категории события (см. ниже). Отображается в виде соответ- |
|
|
|
ствующей пиктограммы. |
|
|
|
|
|
|
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
Пользователь |
|
Имя пользователя, во время работы которого произошло событие. |
|
|
Событие |
|
Название события, например, “Запуск программы”. Может содержать дополни- |
|
|
|
тельную информацию, специфичную для конкретного события. |
|
|
|
|
|
|
|
|
Компьютер |
|
Имя компьютера, на котором произошло событие. |
|
|
Процесс |
|
Название процесса, во время работы которого произошло событие. |
|
|
Объект |
|
Имя объекта системы, в результате действий с которым произошло событие. |
|
|
|
Может содержать характеристики объекта. |
|
|
|
|
|
|
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
ты, хранящей записи Журнала событий. Каждая запись имеет уникальный иден- |
|
|
|
|
|
тификатор. |
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
в Табл. 15. |
|
|
|
|
|
|
|
|
Сотрудник |
|
ФИО сотрудника, во время работы которого произошло событие. |
|
|
Пользователь-источник |
|
Имя пользователя, работа которого на другом компьютере вызвала событие, за- |
|
|
|
регистрированное на данном компьютере (который указан в поле “Компьютер”). |
|
|
|
|
|
Имеет смысл только при доступе к сетевым ресурсам. |
|
|
Дата/Время записи |
|
Дата и время регистрации события в ЦБД системы защиты. Т. е. когда запись из |
|
|
|
локального журнала клиента Secret Net была добавлена в Журнал событий. |
|
|
|
|
|
|
|
|
Архив |
|
Идентификатор архива, в котором хранится запись. Поле содержит значение |
|
|
|
только в техзаписях, которые были восстановлены из архивов журнала. |
|
|
|
|
|
|
|
|
|
|
Категория события, например, События входа/выхода, Ошибки и др. В Жур- |
|
|
Категория |
|
нале событий могут регистрироваться события любой из категорий, перечислен- |
|
|
|
|
ныхв Табл. 13. |
|
|
|
|
Имя компьютера, действия на котором вызвали событие, зарегистрированное на |
|
|
Компьютер-источник |
|
компьютере, имя которого содержится в поле “Компьютер”. Имеет смысл только |
|
|
|
|
при доступе к сетевым ресурсам. |
Табл. 10. Перечень полей, составляющих запись Журнала НСД |
||||
|
|
|
|
|
|
|
Поле |
|
Пояснения |
|
|
Идентификатор категории |
|
Порядковый номер категории события (см. ниже). Отображается в виде соответ- |
|
|
|
ствующей пиктограммы. |
|
|
|
|
|
|
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
Пользователь |
|
Имя пользователя, во время работы которого произошло событие. |
|
|
Компьютер |
|
Имя компьютера, на котором произошло событие. |
|
|
Событие |
|
Название события, например, “Неправильное имя пользователя или пароль”. |
|
|
|
Может содержать дополнительную информацию, специфичную для конкретного |
|
|
|
|
|
события. |
|
|
Процесс |
|
Название процесса, во время работы которого произошло событие. |
|
|
Объект |
|
Имя объекта системы, в результате действий с которым произошло событие. |
|
|
|
Может содержать характеристики объекта. |
|
|
|
|
|
|
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
ты, хранящей записи Журнала НСД. Каждая запись имеет уникальный иденти- |
|
|
|
|
|
фикатор. |
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
в Табл. 15. |
|
|
|
|
|
|
|
|
Сотрудник |
|
ФИО сотрудника, во время работы которого произошло событие. |
64
Приложение
|
|
Поле |
|
|
Пояснения |
|
|
|
Пользователь-источник |
|
|
Имя пользователя, работа которого на другом компьютере вызвала событие, за- |
|
|
|
|
|
регистрированное на данном компьютере (который указан в поле “Компьютер”). |
|
|
|
|
|
|
|
Имеет смысл только при доступе к сетевым ресурсам. |
|
|
|
Дата/Время записи |
|
|
Дата и время регистрации события в ЦБД системы защиты. Т. е. когда запись из |
|
|
|
|
|
локального журнала клиента Secret Net была добавлена в Журнал НСД. |
|
|
|
|
|
|
|
|
|
|
|
Сотрудник-источник |
|
|
ФИО сотрудника, работа которого на другом компьютере вызвала событие НСД, |
|
|
|
|
|
зарегистрированное на компьютере, имя которого содержится в поле “Компью- |
|
|
|
|
|
|
|
тер”. Имеет смысл только при доступе к сетевым ресурсам. |
|
|
|
|
|
|
Категория события. В Журнале НСД могут регистрироваться события категорий |
|
|
|
Категория |
|
|
Несанкционированный доступ и Ошибки. Полный перечень категорий пред- |
|
|
|
|
|
|
ставлен в Табл. 13. |
|
|
|
Компьютер-источник |
|
|
Имя компьютера, действия на котором вызвали событие, зарегистрированное на |
|
|
|
|
|
компьютере, имя которого содержится в поле “Компьютер”. Имеет смысл только |
|
|
|
|
|
|
|
при доступе к сетевым ресурсам. |
|
Табл. 11. Перечень полей, составляющих запись Системного журнала |
|
|||||
|
|
|
|
|
|
|
|
|
Поле |
|
|
Пояснения |
|
|
|
Идентификатор категории |
|
Порядковый номер категории события (см. ниже). Отображается в виде соответ- |
|
|
|
|
|
|
ствующей пиктограммы. |
|
|
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
|
|
в Табл. 15. |
|
||
|
|
|
|
|
||
|
|
Событие |
|
Названиесобытия, например, “Запускпроцессасемантическогосжатия”. Может |
|
|
|
|
|
содержатьдополнительнуюинформацию, специфичнуюдляконкретногособытия. |
|
||
|
|
|
|
|
||
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
|
|
ты, хранящей записи Системного журнала. Каждая запись имеет уникальный |
|
||
|
|
|
|
идентификатор. |
|
|
|
|
|
|
Категория события. В Системном журнале могут регистрироваться события ка- |
|
|
|
|
Категория |
|
тегорий Расширенная регистрация и Ошибки. Полный перечень категорий |
|
|
|
|
|
|
представлен в Табл. 13. |
|
|
Табл. 12. Перечень полей, составляющих запись Журнала аудита |
|
|||||
|
|
|
|
|
|
|
|
|
Поле |
|
|
Пояснения |
|
|
|
Тип события |
|
Результат выполненного действия (успех/отказ). Отображается в виде пикто- |
|
|
|
|
|
граммы, соответствующей категории события (см. ниже). |
|
||
|
|
|
|
|
||
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
|
|
Сотрудник |
|
ФИО сотрудника, во время работы которого произошло событие. |
|
|
|
|
Событие |
|
Название события, например, “Начало сеанса управления”. Содержит дополни- |
|
|
|
|
|
тельную информацию, специфичную для конкретного события. |
|
||
|
|
|
|
|
||
|
|
Компьютер |
|
Имя компьютера, действия на котором привели к возникновению события. |
|
|
|
|
|
|
Имя объекта системы, в результате действий с которым произошло событие. |
|
|
|
|
|
|
Если действие было применено к связи объектов (например, к связи “Пользо- |
|
|
|
|
Первое имя объекта |
|
ватель–Компьютер”) поле содержит имя первого объекта (в приведенном при- |
|
|
|
|
|
|
мере – имя пользователя). Имя второго объекта содержится в поле “Второе имя |
|
|
|
|
|
|
объекта” (см. ниже). |
|
|
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
|
|
ты, хранящей записи Журнала аудита. Каждая запись имеет уникальный иден- |
|
||
|
|
|
|
тификатор. |
|
|
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
|
|
в Табл. 15. |
|
||
|
|
|
|
|
||
|
|
Пользователь |
|
Имя пользователя, в результате действий которого произошло событие. |
|
|
|
|
|
|
Имя второго объекта, если действие было применено к связи объектов (напри- |
|
|
|
|
Второе имя объекта |
|
мер, к связи “Пользователь–Компьютер”). Имя первого объекта содержится в |
|
|
|
|
|
|
поле “Первое имя объекта” (см. выше). |
|
|
|
|
Категория |
|
Категория события, например, Сеанс управления. В Журнале аудита могут ре- |
|
|
|
|
|
гистрироваться события любой из категорий, перечисленныхв Табл. 14. |
|
||
|
|
|
|
|
||
65
Система Secret Net. Руководство по администрированию. Книга третья
Категории регистрируемых событий
Табл. 13. Категории событий для Журнала событий, Журнала НСД и Системного журнала
Категория |
Пояснения |
Примеры событий |
События входа/выхода |
Объединяет события, связанные с регист- |
Вход пользователя, |
|
рацией пользователей в системе и завер- |
Смена пользователя, |
|
шением сеансов ихработы. |
Завершение работы пользователя, |
|
|
Запуск хранителя экрана |
Общие события |
Объединяет события, относящиеся к за- |
Запуск программы, |
|
пуску процессов в системе, а также вклю- |
Запуск Windows NT, |
|
чает системные события Windows NT. |
Регистрация процесса входа |
|
|
в систему |
Сетевые события |
Объединяет события, относящиеся к се- |
Подключение к компьютеру, |
|
тевым подключениям. |
Отключение устройства, |
|
|
Начало сессии удаленного |
|
|
управления |
Расширенная |
Объединяет события, связанные с досту- |
Открытие настроек компьютера, |
регистрация |
пом к ресурсам компьютера, а также собы- |
Создание процесса, |
|
тия сервера безопасности и программ |
Запуск процесса резервного |
|
подсистемы управления. |
копирования БД |
Аудит системы защиты |
Объединяет события, относящиеся к |
Выполнен контроль целостности, |
|
управлению объектами системы защиты, |
Присвоение прав, |
|
контролю целостности, изменению поли- |
Изменение политики безопасности |
|
тики безопасности. |
домена |
Несанкционированный |
Объединяет события, связанные с попыт- |
Неверный пароль, |
доступ |
ками несанкционированного доступа к за- |
Запретудаления файла, |
|
щищаемым ресурсам, а также события, |
Нарушена целостность объекта, |
|
связанные с реакцией системы на попытки |
Операция с привилегированным |
|
НСД. |
объектом |
Ошибки |
Объединяет события, связанные с возник- |
Ошибка чтения файла, |
|
новением ошибочныхситуаций в системе |
Ошибка при контроле целостности, |
|
защиты. |
Внутренняя ошибка, |
|
|
Ошибка при входе в систему |
Другие события |
Включает события, не относящиеся ни к |
Получение журнала безопасности, |
|
одной из вышеописанныхкатегорий. |
Событие, |
|
|
Предупреждение |
66
Приложение
Табл. 14. Категории событий для Журнала аудита
Категория |
Пояснения |
Примеры событий |
Сеанс управления |
События начала и завершения сеансов |
Начало сеанса управления, |
– успех |
централизованного управления системой |
Завершение сеанса управления |
защиты с помощью программ админист- |
|
|
|
|
|
– отказ |
рирования, мониторинга, просмотра жур- |
|
|
налов и удаленного управления. |
|
Установка системы |
Объединяет события, связанные с про- |
Начало сеанса установки/удаления |
защиты |
цессом установки, обновления или удале- |
клиента Secret Net, |
– успех |
ния ПО клиентов системы Secret Net. |
Обновление клиента Secret Net, |
– отказ |
|
Удаление клиента Secret Net |
|
|
|
|
|
|
Управление объектами |
Объединяет события создания и удаления |
Создание сотрудника, |
системы защиты |
объектов системы защиты, а также собы- |
Увольнение сотрудника, |
– успех |
тия, связанные с изменениями объектов. |
Изменение компьютера, |
|
Смена пароля пользователя |
|
– отказ |
|
|
|
|
|
|
|
|
67