- •Оглавление
- •Введение
- •Системные журналы
- •Права доступа к системным журналам
- •Регистрируемая информация
- •Журнал событий
- •Журнал НСД
- •Системный журнал
- •Журнал аудита
- •Журнал конфликтов обратной синхронизации
- •Классификация событий
- •Категории событий
- •Источники событий
- •Программа просмотра журналов
- •Запуск программы
- •Запуск из программы Администратор
- •Запуск из программы мониторинга
- •Запуск из командной строки
- •Интерфейс программы
- •Управление дополнительным окном
- •Настройка отображения панели инструментов и строки сообщений
- •Настройка отображения записей
- •Выборка записей
- •Настройка параметров выборки
- •Настройка основных параметров
- •Настройка дополнительных параметров
- •Повторная выборка записей журнала
- •Обновление выборки
- •Выборка с другими параметрами
- •Вызов нового окна для выборки записей
- •Выбор журнала для просмотра записей
- •Использование шаблонов настройки
- •Сохранение шаблона
- •Настройка параметров по шаблону
- •Принудительная остановка процесса выборки
- •Работа с записями
- •Управление колонками таблицы записей
- •Оперативное управление
- •Настройка параметров просмотра
- •Сортировка записей
- •Оперативная сортировка
- •Настройка параметров сортировки
- •Поиск записей в выборке
- •Оперативный поиск
- •Настройка параметров поиска
- •Повтор поиска
- •Печать записей
- •Сохранение записей в файл
- •Удаление записей
- •Семантическое сжатие Журнала событий
- •Принципы действия и основные понятия семантического сжатия
- •Программа редактирования правил сжатия
- •Запуск программы
- •Интерфейс программы
- •Список правил
- •Список прототипов
- •Основные принципы работы с правилами сжатия
- •Создание правила сжатия
- •Создание правила с автоматическим добавлением прототипов
- •Создание правила, не содержащего прототипы
- •Редактирование списка прототипов правила
- •Добавление прототипа
- •Настройка параметров прототипа
- •Удаление прототипа
- •Объединение нескольких прототипов в один
- •Подготовка правила к использованию
- •Настройка параметров правила
- •Активирование правила
- •Удаление правила
- •Сохранение сделанных изменений
- •Обновление списка правил
- •Запуск процесса семантического сжатия
- •Настройка параметров расписания запуска
- •Немедленный запуск
- •Обработка конфликтов обратной синхронизации
- •Автоматическое устранение конфликтов
- •Программа обработки конфликтов
- •Запуск программы
- •Интерфейс программы
- •Сведения о конфликтах
- •Устранение конфликтов
- •Обновление списка конфликтов
- •Приложение
- •Поля записей журналов
- •Категории регистрируемых событий
- •Источники событий
- •Объекты для контекстной выборки записей
- •Элементы интерфейса и приемы работы
- •Перемещение границы между внутренними окнами
- •Диалог "Календарь"
- •Диалог "Расписание"
- •Предметный указатель
Система Secret Net. Руководство по администрированию. Книга третья
Права доступа к системным журналам
Доступ к записям системных журналов должен быть предоставлен определенным сотрудникам, ответственным за управление системой защиты. Эти сотрудники должны пройти специальную подготовку и обладать достаточными навыками использования программ работы с журналами, чтобы правильно оценивать возможные последствия управляющих воздействий. Кроме того, сведения, содержащиеся в журналах, имеют прямое отношение к безопасности, и утечка этой информации может привести к нежелательным последствиям для организации.
Права на запуск программ работы с журналами (программы просмотра журналов, программы редактирования правил сжатия и программы обработки конфликтов обратной синхронизации) определяются ролью сотрудника в управлении системой защиты. Чтобы сотрудник имел доступ к записям системных журналов, назначьте ему одну из следующих ролей:
•Администратор безопасности – эта роль предоставляет сотруднику все права на локальное и централизованное управление системой защиты;
•Оператор системы защиты – эта роль позволяет сотруднику осуществлять мониторинг и оперативное управление компьютерами системы защиты;
•Аудитор системы защиты – эта роль предоставляет сотруднику только права доступа к записям системных журналов.
Роль в управлении системой защиты назначается сотруднику впрограмме Администратор, см.
Главу 4 документа “Secret Net. Подсистема управления. Руководство по администрированию. Книга первая”.
Регистрируемая информация
Информация о произошедших событиях накапливается в ЦБД системы защиты и хранится в специальных системных журналах. Каждому событию соответствует запись журнала, которая состоит из определенного набора полей, описывающих это событие.
Журнал представляет собой таблицу записей. События регистрируются в следующих журналах:
•Журнал событий;
•Журнал НСД;
•Системный журнал;
•Журнал аудита;
•Журнал конфликтов обратной синхронизации.
Журнал событий
Журнал событий содержит записи о большинстве произошедших событий, включая события несанкционированного доступа (НСД). В этот журнал поступают записи из локальных журналов безопасности Клиентов Secret Net. Т. е. Журнал событий централизованно хранит информацию о событиях, произошедших на каждом защищаемом компьютере.
Записи локального журнала безопасности поступают в Журнал событий в следующих случаях:
•в момент начала или завершения работы пользователя на компьютере;
10
Глава 1. Системные журналы
•при выполнении контекстного запроса записей Журнала событий в программе мониторинга (см. Главу 4 документа “Secret Net. Подсистема управления. Ру-
ководство по администрированию. Книга вторая”).
После того, как записи локального журнала поступили в Журнал событий, они удаляются из локального журнала Клиента Secret Net.
Записи Журнала событий содержат большее число полей, описывающих событие, чем аналогичные записи локального журнала Клиента Secret Net. К имеющейся информации о событии добавляются сведения об источнике события, времени его регистрации в ЦБД и другая служебная информация. Перечень полей, составляющих запись Журнала событий, представлен в Приложении (см. Табл. 9).
Журнал НСД
Журнал НСД содержит записи о событиях несанкционированного доступа, произошедших на защищаемых компьютерах. События НСД регистрируются и в Журнале НСД, и в Журнале событий. Однако контролировать попытки несанкционированного доступа к защищаемым ресурсам удобнее с помощью Журнала НСД по следующим причинам:
•как правило, Журнал НСД содержит гораздо меньше записей, чем Журнал событий за тот же период времени. Журнал НСД содержит сведения только о попытках несанкционированного доступа;
•запись о событии НСД автоматически добавляется в Журнал НСД сразу после регистрации этого события на компьютере. Та же запись добавляется в Журнал событий только через некоторое время (см. предыдущий параграф).
Как и в Журнале событий, запись Журнала НСД содержит большее число полей по сравнению с записью о том же событии в локальном журнале Клиента Secret Net. Перечень полей, составляющих запись Журнала НСД, представлен в Приложении
(см. Табл. 10).
Системный журнал
В Системном журнале регистрируются события, относящиеся к запуску процессов на сервере безопасности (резервное копирование ЦБД, архивирование журналов и др.). Сведения, содержащиеся в этом журнале, необходимы администратору для контроля функционирования сервера безопасности. Перечень полей, составляющих запись Системного журнала, представлен в Приложении (см. Табл. 11).
Журнал аудита
Журнал предназначен для регистрации сведений об использовании программ подсистемы управления администраторами безопасности. В этом журнале регистрируются все действия с объектами системы защиты (создание объектов, установка связей между ними, изменение параметров объектов). Кроме того, Журнал аудита хранит записи о событиях установки, обновления и удаления ПО Клиентов Secret Net. Хранящаяся в журнале информация позволяет главному администратору безопасности и аудитору системы защиты контролировать изменения параметров системы. Перечень полей, составляющих запись Журнала аудита, представлен в Приложении (см. Табл. 12).
Журнал конфликтов обратной синхронизации
Журнал предназначен для регистрации произошедших конфликтов обратной синхронизации. Такие конфликты возникают при попытке одновременного сохранения в ЦБД системы защиты измененных параметров одного и того же объекта. Например: администратор безопасности в программе Администратор, выполнил настройку па-
11