Система Secret Net. Руководство по администрированию. Книга третья
Запуск из командной строки
Запуск с выборкой записей
Запуск без выборки записей
Запуск программы просмотра журналов можно выполнить из командной строки или из Windows-приложений, которые предназначены для работы с файлами (например, программа Проводник). Этот способ запуска используется в следующих случаях:
•если сотруднику разрешен доступ к системным журналам, но запрещено запускать программу Администратор и программу мониторинга (сотруднику назначена роль Аудитор системы защиты). В этом случае описанные выше способы недоступны для данного сотрудника;
•если требуется установить некоторое расписание просмотра системных журналов (ежедневно, еженедельно и т. п.). Расписание может устанавливаться с помощью средств, не входящих в комплект поставки системы Secret Net, например, Планировщика заданий Windows.
Автоматическая выборка записей после запуска программы может осуществляться только с использованием шаблонов настройки (о шаблонах настройки см. стр. 30). Для запуска программы просмотра запустите (откройте) файл шаблона. Файлы шаблонов имеют расширение *.sna и по умолчанию размещаются в каталоге
\Program Files\Infosec\Admin\SnAViewTemplate\
Чтобы осуществить запуск программы без использования шаблонов настройки, запустите на исполнение файл SnAView.exe. Данный файл находится в каталоге \Program Files\Infosec\Admin\ (при условии, что для установки подсистемы управления не был указан другой каталог). После запуска программы просмотра выполните выборку записей нужного журнала (см. стр. 29).
Интерфейс программы
Основное окно программы просмотра журналов имеет вид:
|
Строка заголовков колонок |
|
Дополнительное окно |
||
|
таблицы записей |
|
|
||
|
|
|
|||
|
|
|
|
|
|
Панель инструментов |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Таблица записей
Строка сообщений
Рис. 3 Основное окно программы (Журнал событий)
Основное окно программы состоит из следующих частей:
•область просмотра записей (на рисунке – левая часть основного окна) – содержит список записей, включенных в выборку. Список оформлен в виде таблицы, колонки которой соответствуют полям записей журнала;
16
Глава 2. Программа просмотра журналов
•дополнительное окно (правая часть) – служит для вывода подробной информации о выделенной записи, а также для настройки параметров сортировки записей. Подробная информация о записи представлена в виде таблицы. В колонке “Поле” отображаются названия полей записи. В колонке “Значение” отображается содержимое каждого поля.
Управление дополнительным окном
После запуска программы дополнительное окно не отображается.
Для вызова окна:
Выполните одно из следующих действий:
• нажмите кнопку “Просмотр дополнительной информации”;
•нажмите комбинацию клавиш <Alt>+<Enter>;
•в меню “Просмотр” активизируйте команду “Дополнительная информация”.
Для отключения отображения окна:
Выполните одно из следующих действий:
• в дополнительном окне нажмите стандартную кнопку закрытия окна;
•нажмите кнопку “Просмотр дополнительной информации” (если кнопка находится в “нажатом” состоянии);
•нажмите комбинацию клавиш <Alt>+<Enter>;
•в меню “Просмотр” активизируйте команду “Дополнительная информация” (если слева от команды установлена отметка).
Перемещение окна
Способ перемещения дополнительного окна зависит от того, в каком режиме отображения находится это окно в данный момент. Предусмотрены следующие режимы отображения:
•режим области просмотра – если дополнительное окно “причалено” к внутреннему краю основного окна программы. При этом размер области просмотра записей уменьшен за счет занимаемой области для отображения дополнительного окна. Этот режим используется по умолчанию (см. Рис. 3);
•оконный режим – информация представлена в отдельном окне, не зависящем от положения и размера основного окна программы. В этом режиме дополнительное окно можно разместить в любом месте экрана.
17
Система Secret Net. Руководство по администрированию. Книга третья
Рис. 4 Дополнительное окно, отображаемое в оконном режиме
Для перемещения в режиме области просмотра:
1.Подведите указатель мыши к двойной линии, отображаемой у верхней границы окна.
2.Нажмите левую кнопку мыши, и, удерживая кнопку нажатой, перемещайте рамку окна в нужную область экрана.
3.Завершив перемещение, отпустите кнопку мыши. При этом если рамка вплотную приближена к краю основного окна программы и имеет четкие границы:
после перемещения дополнительное окно будет отображаться в режиме области просмотра.
“Размытые” границы рамки указывают, что после перемещения дополнительное окно будет отображаться в оконном режиме:
Границы автоматически изменяются при приближении рамки к краю основного окна и при удалении от него. Для фиксации “размытых” границ нажмите и удерживайте клавишу <Ctrl> во время перемещения рамки. Это позволит разместить дополнительное окно поверх края основного окна программы.
Для перемещения в оконном режиме:
Используйте стандартный способ перемещения с помощью заголовка окна. Режим,
вкотором будет отображаться окно, можно определить по состоянию границ рамки
впроцессе перемещения (см. выше).
Изменение размера
Изменение размера дополнительного окна, отображаемого в оконном режиме, осуществляется стандартными способами. Для этого используйте границы окна.
18
Глава 2. Программа просмотра журналов
Размер окна, отображаемого в режиме области просмотра, изменяется перемещением границы, которая разделяет дополнительное окно и таблицу записей. Операция по перемещению разделяющей границы является стандартной и описана в Приложении (см. стр. 70).
Настройка отображения панели инструментов и строки сообщений
Панель инструментов
По умолчанию панель инструментов отображается в верхней части основного окна программы (см. Рис. 3). Для отключения панели активизируйте в меню “Просмотр” команду “Панель инструментов”. Чтобы включить отображение панели, используйте ту же команду. (Данная команда отмечена, если панель отображается в окне программы.)
Кнопки панели инструментов могут быть выстроены вдоль других границ основного окна. Кроме того, допускается поместить отдельное окно с кнопками панели в любом месте экрана. Перемещение панели инструментов осуществляется стандартными способами, принятыми в среде Windows для управления окнами и панелями.
Строка сообщений
По умолчанию в нижней части основного окна программы отображается строка сообщений (см. Рис. 3). Для ее отключения активизируйте в меню “Просмотр” команду “Строка состояния”. Чтобы включить отображение строки, используйте ту же команду. (Данная команда отмечена, если строка сообщений отображается в окне программы.)
Настройка отображения записей
Отображение линий сетки
Цветовое
обозначение
По умолчанию ячейки таблицы записей разделены линиями сетки. При необходимости допускается скрыть отображение линий. Для этого активизируйте в меню “Просмотр” команду “Сетка”. Чтобы включить отображение линий, используйте ту же команду. (Данная команда отмечена, если линии отображаются в таблице.)
Цветовое обозначение записей позволяет более наглядно отобразить принадлежность событий категориям. При необходимости допускается изменить цвета, принятые для обозначения записей по умолчанию.
События, регистрируемые в Журнале событий, Журнале НСД и Системном журнале, могут принадлежать категориям, перечисленным в Табл. 13 (см. Приложение к руководству). Категории событий, регистрируемых в Журнале аудита, перечислены в Табл. 14.
Для изменения цветовой палитры:
1.В меню “Настройка” активизируйте команду “Настройка цветовой палитры”. На экране появится следующий диалог.
Список категорий событий. Название каждой категории выделено соответствующим цветом
Рис. 5 Диалог настройки цветового обозначения (Журнал аудита) 2. В списке категорий выберите название нужной категории.
19
Система Secret Net. Руководство по администрированию. Книга третья
3.Нажмите кнопку “Цвет”. На экране появится стандартный диалог палитры цветов
Windows.
4.В диалоге выберите нужный цвет и нажмите кнопку “OK”.
5.При необходимости повторите шаги 2 – 4 для других категорий списка.
6.Нажмите кнопку “Сохранить”.
Для установки стандартного набора цветов:
1.Вызовите на экран диалог настройки цветового обозначения (см. выше).
2.Нажмите кнопку “Стандарт”. Для всех категорий будут установлены цвета, соответствующие стандартному цветовому обозначению.
3.Нажмите кнопку “Сохранить”.
Отключение режима цветового обозначения
При работе с программой допускается быстрое отключение режима цветового обозначения записей. Если режим отключен, все записи независимо от категорий отображаются одним цветом, установленным для отображения текста в Windows (по умолчанию черный цвет).
Для отключения режима:
Выполните одно из следующих действий:
•нажмите комбинацию клавиш <Alt>+<C>;
•в меню “Просмотр” активизируйте команду “Расцветка записей” (если установлена отметка слева от команды).
Для включения режима повторно выполните те же действия.
20