В операционных системах windows 2000, xp
1.1. Цель работы | знакомство с организацией аудита информа-ционных процессов в сетевых операционных системах Windows 2000, XP |
Теоретическая часть
Журналы событий
Аудит — это процесс, позволяющий фиксировать события, происхо-дящие в ОС. Сообщения о критических событиях таких, как переполнение жесткого диска или сбой в питании компьютера выдаются на экран дис-плея. Однако большинство событий записывается в три журнала событий (рис. 1.1).
Рис. 1.1. Журналы событий
- системный журнал содержит информацию о событиях, относя-щихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке – мониторинг компонентов системы;
- журнал безопасности - события, связанные с безопасностью – мониторинг изменений в системе защиты и предупреждение о возможно-сти возникновения "брешей" в этой системе;
- журнал приложений - события, записываемые приложениями – мониторинг всех событий, вызванных работой приложений и программ.
Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.
Просмотр событий – достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы.
Чтобы открыть окно «Просмотр событий», нажмите кнопку Пуск и выберите команды Настройка и Панель управления. Щелкните категорию Производительность и быстродействие, щелкните значок Администрирование, затем дважды щелкните значок Просмотр событий. Другой способ: Пуск® Программы® Администрирование® Просмотр событий.
По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности — только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы) (табл. 1.1).
Таблица 1.1
Права доступа пользователей
Права доступа | Журнал | ||||||||
Системный | Безопасности | Приложений | |||||||
Чтение | Запись | Очистка | R | W | C | R | W | C | |
System | + | + | + | + | + | + | + | + | + |
Администраторы | + | + | + | + | + | + | + | + | |
Операторы сервера | + | + | + | + | + | ||||
Все | + | + | + |
Журналы NT- XP находятся в папке Windows\system32\config в трех файлах:
- AppEvent.еvt (журнал приложений);
- SecEvent.evt (журнал безопасности);
- SysEvent.evt (системный журнал).
Рис. 1.2. Свойства события
При запуске их открывает и блокирует ОС.
В журнал для событий записывается следующая информация.
- тип события;
- дата;
- время;
- источник, т.е. ПО, произведшее запись;
- категория;
- код события;
- имя пользователя, действия которого привели к возникновению события;
- имя компьютера, где произошло событие.
При нажатии левой клавиши мыши на определенном событии из журнала можно получить более детальную информацию о данном событии (рис. 1.2).
Командой «Сохранить файл журнала как» можно сохранить данные в текстовом виде.
В свойствах журнала можно определить действия при заполнении файла данного журнала (рис. 1.3):
- затирать старые события при необходимости;
- затирать событие старше N дней, иначе новые события будут проигнорированы;
- не затирать события (очистка журнала вручную).
Для сортировки и фильтрации служит вкладка «Фильтр» свойств журнала (рис. 1.4).
Рис. 1.3. Окно свойств журнала
Рис. 1.4. Настройка фильтрации событий журнала
По умолчанию аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности».