Secret Net NT 4.0 Руководство по администрированию
События, произошедшие на данном компьютере и имеющие отношение к безопасности, регистрируются в журнале безопасности ОС Windows NT, который будем далее называть "журналом безопасности". Список полей этого журнала и их описание приведены в Табл. 2.
Табл. 2. Список полей журнала безопасности
|
Поле |
|
Характер информации |
|
Тип события |
|
Тип события, например, "информационное сообщение" |
|
|
|
или "предупреждение". |
|
Время |
|
Время возникновения события |
|
|
||
|
Основной |
|
Идентификатор или имя пользователя, действия которого привели к появ- |
|
пользователь |
|
лению события |
|
Событие |
|
Название и описание события |
|
|
||
|
Процесс |
|
Название процесса, во время которого произошло событие |
|
|
||
|
Объект |
|
Имя объекта, в результате действий с которым произошло событие |
|
|
|
|
Программа просмотра журнала безопасности
Для работы с журналом безопасности используется программа SnLView. Она позволяет эффективно организовывать просмотр зарегистрированных событий благодаря возможностям расширенного представления данных, поиска, сортировки и преобразования записей журнала в другие форматы.
Для вызова программы SnLView:
Программу SnLView можно вызвать:
1. Из меню Secret Net панели задач. Вызовите контекстное меню к логотипу Secret Net на панели задач и выберите в нем пункт "Журнал".
2.Из программы "Проводник". В окне программы "Проводник" вызовите контекстное меню к папке "Secret Net" и выберите в нем пункт "Журнал".
3.Из программного меню Windows. Нажмите на кнопку "Пуск" и выберите в меню "Программы | Secret Net | Просмотр журнала событий".
102
Глава 9. Работа с журналом безопасности
Интерфейс программы просмотра журнала
После запуска программы SnLView на экране появится главное окно программы просмотра журнала:
Главное меню и |
|
панель |
Окно |
инструментов |
дополнительной |
|
информации |
|
|
Окно просмотра событий |
|
|
|
||
|
|
|
|
|
|
|
|
В строке сообщений можно получить краткую |
|
Всплывающее информационное окно |
|
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
информацию об элементах основного меню и |
|
|
|
|
|
кнопках панели инструментов |
|
|
|
Рис. 58. Главное окно программы SnLView для просмотра журнала
Управление программой SnLView осуществляется с помощью команд основного меню, панели инструментов и контекстного меню. Некоторые команды можно выполнить и с помощью "горячих" клавиш. В Табл. 3 приведен перечень кнопок панели инструментов, соответствующих им "горячих" клавиш и указано их функциональное назначение.
Табл. 3 Кнопки панели инструментов программы SnLView
Кнопка |
|
Горячие клавиши |
|
|
Команда |
|
|
|
Ctrl+N |
|
|
Открыть журнал |
|
|
|
|
|
|
|
|
|
|
Ctrl+O |
|
|
Загрузить шаблон запроса |
|
|
|
|
|
|
|
|
|
|
F5 |
|
|
Обновить отображаемые записи |
|
|
|
|
|
|
|
|
|
|
Esc |
|
|
Остановить процедуру обновления |
|
|
|
|
|
|
|
|
|
|
Ctrl+P |
|
|
Печать журнала (целиком или выделенных записей) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Преобразовать журнал в файл (*.txt или *.mdb) |
|
|
|
|
|
|
|
|
|
|
Alt+С |
|
|
Включить/выключить режим расцветки записей |
|
|
|
|
|
|
|
|
|
|
Ctrl+F |
|
|
Изменить параметры просмотра журнала |
|
|
|
|
|
|
|
|
|
|
Alt+Enter |
|
|
Включить/выключить режим просмотра дополнительной |
|
|
|
|
|
информации в окне дополнительной информации |
|
|
|
|
|
|
|
|
Краткую информацию об элементах основного меню и кнопках панели инструментов можно получить из подсказки в строке сообщений. Сообщение появляется в строке при выборе пункта меню иликнопки панели инструментов.
Основное окно программы просмотра журнала содержит два внутренних окна:
•Окно просмотра событий – для отображения списка зарегистрированных событий.
•Окно дополнительной информации – для отображения информации об от-
дельном событии, выбранном в окне просмотра.
103
Secret Net NT 4.0 Руководство по администрированию
Вы можете выбрать для себя удобный вид представления информации в окнах, изменяя их положение и относительные размеры (см. ниже).
Окно просмотра событий
После запуска программы просмотра журнала в окне просмотра событий появится список записей о зарегистрированных событиях, организованный в виде таблицы
(см. Рис. 58).
Каждая строка этой таблицы представляет собой запись об отдельном событии и описывается набором характеристик. Названия характеристик располагаются в заголовках столбцов таблицы (например, "Тип события", "Время", "Пользователь"). Записи приводятся в порядке регистрации соответствующих им событий (при условии, что Вы сами не изменили порядок расположения записей в журнале).
Окно дополнительной информации
В окне дополнительной информации (см. Рис. 58) выводится полная информация о выбранном событии. По умолчанию окно дополнительной информации не отображается. Включить отображение окна дополнительной информации можно, выбрав в основном меню пункт "Просмотр | Дополнительная информация" или нажав клавиши <Alt>+<Enter>. Отключить отображение окна дополнительной информации можно одним из следующих способов:
•повторно выбрав в основном меню пункт "Просмотр | Дополнительная информация" или нажав клавиши <Alt>+<Enter>;
•вызвав в любом месте окна контекстное меню и выбрав в нем пункт "Закрыть".
После того как в окне просмотра журнала Вы выберете запись об интересующем событии, в окне дополнительной информации появится полная информация о нем. В колонке "Поле" располагается список полей, которые используются для описания событий, а рядом их значения (в колонке "Значение"). До тех пор пока в окне просмотра журнала не выделена ни одна запись, окно дополнительной информации или будет оставаться пустым, или будет содержать информацию, которая появилась в нем при последнем обновлении.
Управление положением и размером окон
В программе просмотра журнала предусмотрено несколько способов управления положением и размером окон. Это позволяет найти наиболее эффективный для каждого пользователя способ организации работы с журналом.
Перемещение разделяющих границ. Вы можете подобрать удобные для себя относительные размеры окон, перемещая разделяющие их границы обычным принятым в Windows способом.
Перетаскивание окон. Окно дополнительной информации можно перемещать внутри главного окна программы. Это возможно при включенном docking режиме. Docking можно дословно перевести как "швартовка, причаливание в доке". Если Вы откроете контекстное меню в этом окне, то увидите, что docking режим разрешен по умолчанию
– рядом с соответствующим пунктом меню стоит отметка:
104
Глава 9. Работа с журналом безопасности
Для того чтобы перетащить вспомогательное окно на новое место, подведите курсор мыши к полосе, котораярасполагаетсясразунадзаголовками столбцов. Курсор должен при этом принять формускрещенных стрелок:
Теперь нажмите на левую кнопку мыши и удерживайте ее в нажатом состоянии. Вокруг крестообразного курсора появится прямоугольный контур, имитирующий границы вспомогательного окна:
Когда он приближается к границам главного окна, меняется его форма, он как бы "причаливает" к границам главного окна, показывая новое возможное положение окна. Если такое положение Вас устраивает, отпустите левую кнопку мыши, и окно разместится в новом месте.
Если же курсор вывести за границы главного окна, то окружающий его прямоугольный контур будеточерчен более толстой линией:
Если оставить вспомогательное окно в таком положении, то оно станет самостоятельным:
Над строкой заголовков столбцов появится строка заголовка окна с его названием. Можно независимо от других окон менять его положение и размер.
Если попытаться возвратить окно в границы главного окна, то оно опять начнет "причаливать" к внутренним границам. Окно автоматически возвратится в прежнее положение, если дважды щелкнуть на его заголовке. Но если Вы отмените docking режим в контекстном меню, то самостоятельное вспомогательное окно можно будет разместить даже на фоне главного окна, иэффекта "причаливания" уже не будет.
Всплывающие информационные окна
В тех случаях, когда представленная в окнах информация не помещается в них полностью, можно использовать вертикальную и горизонтальную полосы прокрутки или клавиши управления курсором дляпролистывания записей.
105