Основные возможности оснастки Просмотр событий
В предыдущем разделе был изучен вопрос организации и на-стройки аудита системных событий различных категорий, в част-ности, событий, связанных с обеспечением безопасности ОС. Од-нако, помимо указанных, в ОС Windows дополнительно име-ются события других категорий, например, события, связанные с работой приложений и программ. Поскольку аудит предполагает
регистрацию различного рода системных событий (табл. 8), имеющих место в операционной среде, их регистрация в ОС Windows осуществляется в журналах трех основных типов, описание которых представлено после таблицы. В журнале при-ложений содержатся данные,относящиеся к работе приложений.Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствую-щих приложений.
Журнал безопасности содержит записи о таких событиях какуспешные и безуспешные попытки доступа в ОС, а также о собы-тиях, относящихся к использованию системных ресурсов. В част-ности, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущем разделе. В журнале систе-мы содержатся события системных компонентов ОС.Так,напри-мер, в журнале системы регистрируются сбои при загрузке драй-вера или других программных компонентов в момент запуска сис-темы. В дополнение к существующим ОС Windows имеет в своем распоряжении еще два журнала: службы каталогов и служ-бы репликации файлов,запись событий в которые выполняется вслучае, если компьютер настроен в качестве контроллера домена.
Таблица 8
Типы системных событий в ОС Windows
| № | Тип события | Описание |
| п/п | ||
| 1. | Ошибка | Возникает при серьезных трудностях, связанных с |
| потерей данных или функциональности ОС (напри- | ||
| мер, при сбое загрузки службы в момент ее запуска) | ||
| 2. | Предупреждение | Возникает при событии, которое в момент записи в |
| журнал не было существенным, но может привести к | ||
| ошибкам в будущем (например, если на диске оста- | ||
| лось мало свободного места) | ||
| 3. | Уведомление | Возникает при событии, описывающее удачное за- |
| вершение действия приложением, драйвером или | ||
| службой (например, после успешной загрузки драй- | ||
| вера) | ||
| 4. | Аудит успехов | Возникает при событии, которое соответствует ус- |
| пешно завершенному действию, связанному с под- | ||
| держкой безопасности ОС (например, в случае ус- | ||
| пешного входа пользователя в систему) |
| Окончание табл. 8 | |||
| № | Тип события | Описание | |
| п/п. | |||
| 5. | Аудит отказов | Возникает при событии, которое соответствует не- | |
| удачно завершенному действию, связанному с под- | |||
| держкой безопасности ОС (например, в случае не- | |||
| удачной попытки доступа пользователя к сетевому | |||
| диску) | |||
В журнале службы каталогов содержатся события,заносимыеслужбой каталогов ОС Windows. Например, проблемы соедине-ния между сервером и общим каталогом записываются в этот жур-
нал. Журнал службы репликации файлов содержит записи о систем-
ных событиях, внесенных службой репликации файлов ОС Windows. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена об-новляются данными об изменениях из общей папки Sysvol, где хра-нится серверная копия общих файлов, реплицируемых между всеми контроллерами домена. Кроме того, существует журналDNS-сервера,в который записываются сообщения об системных событи-ях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.
В ОС Windows за регистрацию системных событий в опи-санных выше журналах отвечает специальная служба, называемая службой журнала событий,которая загружается автоматическипри старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответствующих записей системных событий в реальном масштабе времени. При этом любой пользова-тель может просматривать журналы приложений и системы, одна-ко журналы безопасности доступны только системному админист-ратору, который предварительно должен настроить параметры системных событий аудита (табл. 7), воспользовавшись компонен-
том Групповая политика.
В настоящем разделе изучаются основные возможности реги-страции системных событий различных категорий посредством имеющегося в ОС Windows служебного инструмента – оснаст-ки Просмотр событий. Для ознакомления с возможностями дан-ной оснастки выполните следующее.
2.3.1. Добавьте в созданную ранее учебную консоль MMC Ди-агноз Настройка новую системную оснастку Просмотр событий.
2.3.2. В дереве консоли щелкните манипулятором мышь по оснастке Просмотр событий и обратите внимание на появившие-ся три журнала и их текущие размеры в области сведений справа. Последовательно перебирая журналы приложений, безопасности и системы, отметьте в них наличие всех указанных выше типов сис-темных событий (табл. 8). При этом обратите внимание на то, что такие типы событий, как аудиты отказов и успехов присущи толь-ко журналу безопасности, который был Вами настроен в преды-дущем разделе. Остальные типы событий встречаются как в жур-нале приложений, так и в журнале системы.
2.3.3. Воспользовавшись меню Вид изучаемой оснастки, от-фильтруйте:
– в журнале приложений событие Уведомление за прошедшее время,
– в журнале безопасность событие Аудит отказов за IV квартал,
– в журнале система событие Ошибка за последнюю неделю,
с сортировкой по дате от старых к новым.
2.3.4. В окне журнала событий системы удалите столбцы Пользователь, Компьютер и Категория,оставив остальные.
2.3.5. Воспользовавшись системой поиска, найдите событие типа Предупреждение с кодом 1003 от источника DHCP в журнале событий системы.
2.3.6. Создайте собственный журнал событий, содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность за-тирания старых событий при необходимости. Сохраните создан-ный журнал в двоичном виде с расширением .evt.
2.3.7. Создайте инструмент для регистрации событий аудита любого компьютера рабочей группы или домена и осуществите просмотр системных событий другого узла локальной сети с его помощью.
2.3.8. Не закрывая консоль администрирования ММС, сохра-ните ее. При выполнении заданий данного раздела выполните сле-дующее:
– перенесите последовательность выполняемых действий по каждому из пунктов 2.3.1–2.3.6 в отчет (возможно приведение гра-фических фрагментов, сделанных с экрана, в качестве демонстра-ционного материала).
3. Контрольные вопросы
1. Перечислите категории событий, предназначенные для контроля в ОС Windows.
2. Что представляет собой контейнер в ОС Windows?
3. В чем заключается разница в аудите в случае, когда флажок Применять этот аудит к объектам и контейнерам только внут-ри этого контейнера в диалоговом окне Элемент аудита уста-
новлен и когда он не установлен?
4. Что представляет собой репликация файла?
5. Что представляет собой контроллер домена?
6. Что представляет собой источник события?
7. Какие сведения содержит заголовок события?