В операционных системах windows 2000, xp

1.1. Цель работы знакомство с организацией аудита информа-ционных процессов в сетевых операционных системах Windows 2000, XP

Теоретическая часть

Журналы событий

Аудит — это процесс, позволяющий фиксировать события, происхо-дящие в ОС. Сообщения о критических событиях таких, как переполнение жесткого диска или сбой в питании компьютера выдаются на экран дис-плея. Однако большинство событий записывается в три журнала событий (рис. 1.1).

в операционных системах windows 2000, xp - student2.ru

Рис. 1.1. Журналы событий

- системный журнал содержит информацию о событиях, относя-щихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке – мониторинг компонентов системы;

- журнал безопасности - события, связанные с безопасностью – мониторинг изменений в системе защиты и предупреждение о возможно-сти возникновения "брешей" в этой системе;

- журнал приложений - события, записываемые приложениями – мониторинг всех событий, вызванных работой приложений и программ.

Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.

Просмотр событий – достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы.

Чтобы открыть окно «Просмотр событий», нажмите кнопку Пуск и выберите команды Настройка и Панель управления. Щелкните категорию Производительность и быстродействие, щелкните значок Администрирование, затем дважды щелкните значок Просмотр событий. Другой способ: Пуск® Программы® Администрирование® Просмотр событий.

По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности — только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы) (табл. 1.1).

Таблица 1.1

Права доступа пользователей

Права доступа Журнал
Системный Безопасности Приложений
Чтение Запись Очистка R W C R W C
System + + + + + + + + +
Администраторы + + + +   + + + +
Операторы сервера +   +       + + +
Все +           + +  

Журналы NT- XP находятся в папке Windows\system32\config в трех файлах:

- AppEvent.еvt (журнал приложений);

- SecEvent.evt (журнал безопасности);

- SysEvent.evt (системный журнал).

в операционных системах windows 2000, xp - student2.ru

Рис. 1.2. Свойства события

При запуске их открывает и блокирует ОС.

В журнал для событий записывается следующая информация.

- тип события;

- дата;

- время;

- источник, т.е. ПО, произведшее запись;

- категория;

- код события;

- имя пользователя, действия которого привели к возникновению события;

- имя компьютера, где произошло событие.

При нажатии левой клавиши мыши на определенном событии из журнала можно получить более детальную информацию о данном событии (рис. 1.2).

Командой «Сохранить файл журнала как» можно сохранить данные в текстовом виде.

В свойствах журнала можно определить действия при заполнении файла данного журнала (рис. 1.3):

- затирать старые события при необходимости;

- затирать событие старше N дней, иначе новые события будут проигнорированы;

- не затирать события (очистка журнала вручную).

Для сортировки и фильтрации служит вкладка «Фильтр» свойств журнала (рис. 1.4).

в операционных системах windows 2000, xp - student2.ru

Рис. 1.3. Окно свойств журнала

в операционных системах windows 2000, xp - student2.ru

Рис. 1.4. Настройка фильтрации событий журнала

По умолчанию аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности».

Наши рекомендации