- •Оглавление
- •Введение
- •Системные журналы
- •Права доступа к системным журналам
- •Регистрируемая информация
- •Журнал событий
- •Журнал НСД
- •Системный журнал
- •Журнал аудита
- •Журнал конфликтов обратной синхронизации
- •Классификация событий
- •Категории событий
- •Источники событий
- •Программа просмотра журналов
- •Запуск программы
- •Запуск из программы Администратор
- •Запуск из программы мониторинга
- •Запуск из командной строки
- •Интерфейс программы
- •Управление дополнительным окном
- •Настройка отображения панели инструментов и строки сообщений
- •Настройка отображения записей
- •Выборка записей
- •Настройка параметров выборки
- •Настройка основных параметров
- •Настройка дополнительных параметров
- •Повторная выборка записей журнала
- •Обновление выборки
- •Выборка с другими параметрами
- •Вызов нового окна для выборки записей
- •Выбор журнала для просмотра записей
- •Использование шаблонов настройки
- •Сохранение шаблона
- •Настройка параметров по шаблону
- •Принудительная остановка процесса выборки
- •Работа с записями
- •Управление колонками таблицы записей
- •Оперативное управление
- •Настройка параметров просмотра
- •Сортировка записей
- •Оперативная сортировка
- •Настройка параметров сортировки
- •Поиск записей в выборке
- •Оперативный поиск
- •Настройка параметров поиска
- •Повтор поиска
- •Печать записей
- •Сохранение записей в файл
- •Удаление записей
- •Семантическое сжатие Журнала событий
- •Принципы действия и основные понятия семантического сжатия
- •Программа редактирования правил сжатия
- •Запуск программы
- •Интерфейс программы
- •Список правил
- •Список прототипов
- •Основные принципы работы с правилами сжатия
- •Создание правила сжатия
- •Создание правила с автоматическим добавлением прототипов
- •Создание правила, не содержащего прототипы
- •Редактирование списка прототипов правила
- •Добавление прототипа
- •Настройка параметров прототипа
- •Удаление прототипа
- •Объединение нескольких прототипов в один
- •Подготовка правила к использованию
- •Настройка параметров правила
- •Активирование правила
- •Удаление правила
- •Сохранение сделанных изменений
- •Обновление списка правил
- •Запуск процесса семантического сжатия
- •Настройка параметров расписания запуска
- •Немедленный запуск
- •Обработка конфликтов обратной синхронизации
- •Автоматическое устранение конфликтов
- •Программа обработки конфликтов
- •Запуск программы
- •Интерфейс программы
- •Сведения о конфликтах
- •Устранение конфликтов
- •Обновление списка конфликтов
- •Приложение
- •Поля записей журналов
- •Категории регистрируемых событий
- •Источники событий
- •Объекты для контекстной выборки записей
- •Элементы интерфейса и приемы работы
- •Перемещение границы между внутренними окнами
- •Диалог "Календарь"
- •Диалог "Расписание"
- •Предметный указатель
Система Secret Net. Руководство по администрированию. Книга третья
раметров компьютера WS_1, а в это же время пользователь с правами локального администрирования настроил необходимые параметры на той же рабочей станции.
Врезультате на сервер безопасности поступят противоречащие друг другу задания на сохранение параметров этого компьютера в ЦБД, что и приведет к конфликту.
Внормальном режиме работы системы защиты Журнал конфликтов обратной синхронизации пуст. При возникновении конфликта запись о нем помещается в журнал и удаляется только после устранения конфликта. Система защиты может автоматически устранять такие конфликты (в соответствии с выбранным способом), либо ожидать решения администратора безопасности.
Классификация событий
Система Secret Net осуществляет регистрацию практически всех событий, имеющих отношение к безопасности и произошедших на защищенных компьютерах. Для распределения событий по характерным группам принята следующая классификация:
•по категориям событий;
•по источникам регистрации.
Категории событий
Каждое регистрируемое событие относится к определенной категории. Категория является общей характеристикой события, указывающей к какой группе событий относится данное событие. Например, событие “Завершение работы пользователя” относится к категории События входа/выхода, а событие “Запуск процесса резервного копирования БД” – к категории Расширенная регистрация.
Перечень категорий представлен в Приложении к руководству. В Табл. 13 перечислены категории событий, регистрируемых в Журнале событий, Журнале НСД и Системном журнале. Категории событий, регистрируемых в Журнале аудита, перечислены в Табл. 14.
В программе просмотра журналов все записи о событиях, относящихся к определенной категории, обозначаются одним и тем же цветом. Используйте стандартное цветовое обозначение записей или настройте цвета в соответствии с собственными предпочтениями (см. стр. 19).
Источники событий
Важным признаком любого события является источник его регистрации. По этому признаку можно определить, какой компонент системы Secret Net зарегистрировал данное событие. Источником может являться Клиент системы Secret Net, сервер безопасности, программы подсистемы управления и др.
В записи о событии содержится условное название источника. Например, название источника “SecretNet” указывает, что данное событие зарегистрировано Клиентом Secret Net 9x. Перечень названий источников представлен в Приложении к руководству (см. Табл. 15).
12