- •Оглавление
- •Введение
- •Системные журналы
- •Права доступа к системным журналам
- •Регистрируемая информация
- •Журнал событий
- •Журнал НСД
- •Системный журнал
- •Журнал аудита
- •Журнал конфликтов обратной синхронизации
- •Классификация событий
- •Категории событий
- •Источники событий
- •Программа просмотра журналов
- •Запуск программы
- •Запуск из программы Администратор
- •Запуск из программы мониторинга
- •Запуск из командной строки
- •Интерфейс программы
- •Управление дополнительным окном
- •Настройка отображения панели инструментов и строки сообщений
- •Настройка отображения записей
- •Выборка записей
- •Настройка параметров выборки
- •Настройка основных параметров
- •Настройка дополнительных параметров
- •Повторная выборка записей журнала
- •Обновление выборки
- •Выборка с другими параметрами
- •Вызов нового окна для выборки записей
- •Выбор журнала для просмотра записей
- •Использование шаблонов настройки
- •Сохранение шаблона
- •Настройка параметров по шаблону
- •Принудительная остановка процесса выборки
- •Работа с записями
- •Управление колонками таблицы записей
- •Оперативное управление
- •Настройка параметров просмотра
- •Сортировка записей
- •Оперативная сортировка
- •Настройка параметров сортировки
- •Поиск записей в выборке
- •Оперативный поиск
- •Настройка параметров поиска
- •Повтор поиска
- •Печать записей
- •Сохранение записей в файл
- •Удаление записей
- •Семантическое сжатие Журнала событий
- •Принципы действия и основные понятия семантического сжатия
- •Программа редактирования правил сжатия
- •Запуск программы
- •Интерфейс программы
- •Список правил
- •Список прототипов
- •Основные принципы работы с правилами сжатия
- •Создание правила сжатия
- •Создание правила с автоматическим добавлением прототипов
- •Создание правила, не содержащего прототипы
- •Редактирование списка прототипов правила
- •Добавление прототипа
- •Настройка параметров прототипа
- •Удаление прототипа
- •Объединение нескольких прототипов в один
- •Подготовка правила к использованию
- •Настройка параметров правила
- •Активирование правила
- •Удаление правила
- •Сохранение сделанных изменений
- •Обновление списка правил
- •Запуск процесса семантического сжатия
- •Настройка параметров расписания запуска
- •Немедленный запуск
- •Обработка конфликтов обратной синхронизации
- •Автоматическое устранение конфликтов
- •Программа обработки конфликтов
- •Запуск программы
- •Интерфейс программы
- •Сведения о конфликтах
- •Устранение конфликтов
- •Обновление списка конфликтов
- •Приложение
- •Поля записей журналов
- •Категории регистрируемых событий
- •Источники событий
- •Объекты для контекстной выборки записей
- •Элементы интерфейса и приемы работы
- •Перемещение границы между внутренними окнами
- •Диалог "Календарь"
- •Диалог "Расписание"
- •Предметный указатель
Приложение
В приложении содержится информация:
•Перечень полей, из которых состоят записи журналов регистрации
•Перечень категорий и источников регистрируемых событий
•Для каких объектов допускается контекстный вызов записей журналов
•О типовых элементах интерфейса и основных приемах работы
63
Система Secret Net. Руководство по администрированию. Книга третья
Поля записей журналов
Табл. 9. Перечень полей, составляющих запись Журнала событий
|
|
Поле |
|
Пояснения |
|
|
Идентификатор категории |
|
Порядковый номер категории события (см. ниже). Отображается в виде соответ- |
|
|
|
ствующей пиктограммы. |
|
|
|
|
|
|
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
Пользователь |
|
Имя пользователя, во время работы которого произошло событие. |
|
|
Событие |
|
Название события, например, “Запуск программы”. Может содержать дополни- |
|
|
|
тельную информацию, специфичную для конкретного события. |
|
|
|
|
|
|
|
|
Компьютер |
|
Имя компьютера, на котором произошло событие. |
|
|
Процесс |
|
Название процесса, во время работы которого произошло событие. |
|
|
Объект |
|
Имя объекта системы, в результате действий с которым произошло событие. |
|
|
|
Может содержать характеристики объекта. |
|
|
|
|
|
|
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
ты, хранящей записи Журнала событий. Каждая запись имеет уникальный иден- |
|
|
|
|
|
тификатор. |
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
в Табл. 15. |
|
|
|
|
|
|
|
|
Сотрудник |
|
ФИО сотрудника, во время работы которого произошло событие. |
|
|
Пользователь-источник |
|
Имя пользователя, работа которого на другом компьютере вызвала событие, за- |
|
|
|
регистрированное на данном компьютере (который указан в поле “Компьютер”). |
|
|
|
|
|
Имеет смысл только при доступе к сетевым ресурсам. |
|
|
Дата/Время записи |
|
Дата и время регистрации события в ЦБД системы защиты. Т. е. когда запись из |
|
|
|
локального журнала клиента Secret Net была добавлена в Журнал событий. |
|
|
|
|
|
|
|
|
Архив |
|
Идентификатор архива, в котором хранится запись. Поле содержит значение |
|
|
|
только в техзаписях, которые были восстановлены из архивов журнала. |
|
|
|
|
|
|
|
|
|
|
Категория события, например, События входа/выхода, Ошибки и др. В Жур- |
|
|
Категория |
|
нале событий могут регистрироваться события любой из категорий, перечислен- |
|
|
|
|
ныхв Табл. 13. |
|
|
|
|
Имя компьютера, действия на котором вызвали событие, зарегистрированное на |
|
|
Компьютер-источник |
|
компьютере, имя которого содержится в поле “Компьютер”. Имеет смысл только |
|
|
|
|
при доступе к сетевым ресурсам. |
Табл. 10. Перечень полей, составляющих запись Журнала НСД |
||||
|
|
|
|
|
|
|
Поле |
|
Пояснения |
|
|
Идентификатор категории |
|
Порядковый номер категории события (см. ниже). Отображается в виде соответ- |
|
|
|
ствующей пиктограммы. |
|
|
|
|
|
|
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
Пользователь |
|
Имя пользователя, во время работы которого произошло событие. |
|
|
Компьютер |
|
Имя компьютера, на котором произошло событие. |
|
|
Событие |
|
Название события, например, “Неправильное имя пользователя или пароль”. |
|
|
|
Может содержать дополнительную информацию, специфичную для конкретного |
|
|
|
|
|
события. |
|
|
Процесс |
|
Название процесса, во время работы которого произошло событие. |
|
|
Объект |
|
Имя объекта системы, в результате действий с которым произошло событие. |
|
|
|
Может содержать характеристики объекта. |
|
|
|
|
|
|
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
ты, хранящей записи Журнала НСД. Каждая запись имеет уникальный иденти- |
|
|
|
|
|
фикатор. |
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
в Табл. 15. |
|
|
|
|
|
|
|
|
Сотрудник |
|
ФИО сотрудника, во время работы которого произошло событие. |
64
Приложение
|
|
Поле |
|
|
Пояснения |
|
|
|
Пользователь-источник |
|
|
Имя пользователя, работа которого на другом компьютере вызвала событие, за- |
|
|
|
|
|
регистрированное на данном компьютере (который указан в поле “Компьютер”). |
|
|
|
|
|
|
|
Имеет смысл только при доступе к сетевым ресурсам. |
|
|
|
Дата/Время записи |
|
|
Дата и время регистрации события в ЦБД системы защиты. Т. е. когда запись из |
|
|
|
|
|
локального журнала клиента Secret Net была добавлена в Журнал НСД. |
|
|
|
|
|
|
|
|
|
|
|
Сотрудник-источник |
|
|
ФИО сотрудника, работа которого на другом компьютере вызвала событие НСД, |
|
|
|
|
|
зарегистрированное на компьютере, имя которого содержится в поле “Компью- |
|
|
|
|
|
|
|
тер”. Имеет смысл только при доступе к сетевым ресурсам. |
|
|
|
|
|
|
Категория события. В Журнале НСД могут регистрироваться события категорий |
|
|
|
Категория |
|
|
Несанкционированный доступ и Ошибки. Полный перечень категорий пред- |
|
|
|
|
|
|
ставлен в Табл. 13. |
|
|
|
Компьютер-источник |
|
|
Имя компьютера, действия на котором вызвали событие, зарегистрированное на |
|
|
|
|
|
компьютере, имя которого содержится в поле “Компьютер”. Имеет смысл только |
|
|
|
|
|
|
|
при доступе к сетевым ресурсам. |
|
Табл. 11. Перечень полей, составляющих запись Системного журнала |
|
|||||
|
|
|
|
|
|
|
|
|
Поле |
|
|
Пояснения |
|
|
|
Идентификатор категории |
|
Порядковый номер категории события (см. ниже). Отображается в виде соответ- |
|
|
|
|
|
|
ствующей пиктограммы. |
|
|
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
|
|
в Табл. 15. |
|
||
|
|
|
|
|
||
|
|
Событие |
|
Названиесобытия, например, “Запускпроцессасемантическогосжатия”. Может |
|
|
|
|
|
содержатьдополнительнуюинформацию, специфичнуюдляконкретногособытия. |
|
||
|
|
|
|
|
||
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
|
|
ты, хранящей записи Системного журнала. Каждая запись имеет уникальный |
|
||
|
|
|
|
идентификатор. |
|
|
|
|
|
|
Категория события. В Системном журнале могут регистрироваться события ка- |
|
|
|
|
Категория |
|
тегорий Расширенная регистрация и Ошибки. Полный перечень категорий |
|
|
|
|
|
|
представлен в Табл. 13. |
|
|
Табл. 12. Перечень полей, составляющих запись Журнала аудита |
|
|||||
|
|
|
|
|
|
|
|
|
Поле |
|
|
Пояснения |
|
|
|
Тип события |
|
Результат выполненного действия (успех/отказ). Отображается в виде пикто- |
|
|
|
|
|
граммы, соответствующей категории события (см. ниже). |
|
||
|
|
|
|
|
||
|
|
Дата/Время |
|
Дата и время возникновения события. |
|
|
|
|
Сотрудник |
|
ФИО сотрудника, во время работы которого произошло событие. |
|
|
|
|
Событие |
|
Название события, например, “Начало сеанса управления”. Содержит дополни- |
|
|
|
|
|
тельную информацию, специфичную для конкретного события. |
|
||
|
|
|
|
|
||
|
|
Компьютер |
|
Имя компьютера, действия на котором привели к возникновению события. |
|
|
|
|
|
|
Имя объекта системы, в результате действий с которым произошло событие. |
|
|
|
|
|
|
Если действие было применено к связи объектов (например, к связи “Пользо- |
|
|
|
|
Первое имя объекта |
|
ватель–Компьютер”) поле содержит имя первого объекта (в приведенном при- |
|
|
|
|
|
|
мере – имя пользователя). Имя второго объекта содержится в поле “Второе имя |
|
|
|
|
|
|
объекта” (см. ниже). |
|
|
|
|
Запись в ЦБД |
|
Идентификатор строки с информацией о событии в таблице ЦБД системы защи- |
|
|
|
|
|
ты, хранящей записи Журнала аудита. Каждая запись имеет уникальный иден- |
|
||
|
|
|
|
тификатор. |
|
|
|
|
Источник |
|
Название источника возникновения события. Перечень источников представлен |
|
|
|
|
|
в Табл. 15. |
|
||
|
|
|
|
|
||
|
|
Пользователь |
|
Имя пользователя, в результате действий которого произошло событие. |
|
|
|
|
|
|
Имя второго объекта, если действие было применено к связи объектов (напри- |
|
|
|
|
Второе имя объекта |
|
мер, к связи “Пользователь–Компьютер”). Имя первого объекта содержится в |
|
|
|
|
|
|
поле “Первое имя объекта” (см. выше). |
|
|
|
|
Категория |
|
Категория события, например, Сеанс управления. В Журнале аудита могут ре- |
|
|
|
|
|
гистрироваться события любой из категорий, перечисленныхв Табл. 14. |
|
||
|
|
|
|
|
65
Система Secret Net. Руководство по администрированию. Книга третья
Категории регистрируемых событий
Табл. 13. Категории событий для Журнала событий, Журнала НСД и Системного журнала
Категория |
Пояснения |
Примеры событий |
События входа/выхода |
Объединяет события, связанные с регист- |
Вход пользователя, |
|
рацией пользователей в системе и завер- |
Смена пользователя, |
|
шением сеансов ихработы. |
Завершение работы пользователя, |
|
|
Запуск хранителя экрана |
Общие события |
Объединяет события, относящиеся к за- |
Запуск программы, |
|
пуску процессов в системе, а также вклю- |
Запуск Windows NT, |
|
чает системные события Windows NT. |
Регистрация процесса входа |
|
|
в систему |
Сетевые события |
Объединяет события, относящиеся к се- |
Подключение к компьютеру, |
|
тевым подключениям. |
Отключение устройства, |
|
|
Начало сессии удаленного |
|
|
управления |
Расширенная |
Объединяет события, связанные с досту- |
Открытие настроек компьютера, |
регистрация |
пом к ресурсам компьютера, а также собы- |
Создание процесса, |
|
тия сервера безопасности и программ |
Запуск процесса резервного |
|
подсистемы управления. |
копирования БД |
Аудит системы защиты |
Объединяет события, относящиеся к |
Выполнен контроль целостности, |
|
управлению объектами системы защиты, |
Присвоение прав, |
|
контролю целостности, изменению поли- |
Изменение политики безопасности |
|
тики безопасности. |
домена |
Несанкционированный |
Объединяет события, связанные с попыт- |
Неверный пароль, |
доступ |
ками несанкционированного доступа к за- |
Запретудаления файла, |
|
щищаемым ресурсам, а также события, |
Нарушена целостность объекта, |
|
связанные с реакцией системы на попытки |
Операция с привилегированным |
|
НСД. |
объектом |
Ошибки |
Объединяет события, связанные с возник- |
Ошибка чтения файла, |
|
новением ошибочныхситуаций в системе |
Ошибка при контроле целостности, |
|
защиты. |
Внутренняя ошибка, |
|
|
Ошибка при входе в систему |
Другие события |
Включает события, не относящиеся ни к |
Получение журнала безопасности, |
|
одной из вышеописанныхкатегорий. |
Событие, |
|
|
Предупреждение |
66
Приложение
Табл. 14. Категории событий для Журнала аудита
Категория |
Пояснения |
Примеры событий |
Сеанс управления |
События начала и завершения сеансов |
Начало сеанса управления, |
– успех |
централизованного управления системой |
Завершение сеанса управления |
защиты с помощью программ админист- |
|
|
|
|
|
– отказ |
рирования, мониторинга, просмотра жур- |
|
|
налов и удаленного управления. |
|
Установка системы |
Объединяет события, связанные с про- |
Начало сеанса установки/удаления |
защиты |
цессом установки, обновления или удале- |
клиента Secret Net, |
– успех |
ния ПО клиентов системы Secret Net. |
Обновление клиента Secret Net, |
– отказ |
|
Удаление клиента Secret Net |
|
|
|
|
|
|
Управление объектами |
Объединяет события создания и удаления |
Создание сотрудника, |
системы защиты |
объектов системы защиты, а также собы- |
Увольнение сотрудника, |
– успех |
тия, связанные с изменениями объектов. |
Изменение компьютера, |
|
Смена пароля пользователя |
|
– отказ |
|
|
|
|
|
|
|
|
67