Основные возможности оснастки Просмотр событий

В предыдущем разделе был изучен вопрос организации и на-стройки аудита системных событий различных категорий, в част-ности, событий, связанных с обеспечением безопасности ОС. Од-нако, помимо указанных, в ОС Windows дополнительно име-ются события других категорий, например, события, связанные с работой приложений и программ. Поскольку аудит предполагает



регистрацию различного рода системных событий (табл. 8), имеющих место в операционной среде, их регистрация в ОС Windows осуществляется в журналах трех основных типов, описание которых представлено после таблицы. В журнале при-ложений содержатся данные,относящиеся к работе приложений.Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствую-щих приложений.

Журнал безопасности содержит записи о таких событиях какуспешные и безуспешные попытки доступа в ОС, а также о собы-тиях, относящихся к использованию системных ресурсов. В част-ности, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущем разделе. В журнале систе-мы содержатся события системных компонентов ОС.Так,напри-мер, в журнале системы регистрируются сбои при загрузке драй-вера или других программных компонентов в момент запуска сис-темы. В дополнение к существующим ОС Windows имеет в своем распоряжении еще два журнала: службы каталогов и служ-бы репликации файлов,запись событий в которые выполняется вслучае, если компьютер настроен в качестве контроллера домена.

Таблица 8

Типы системных событий в ОС Windows

Тип события Описание
п/п    
     
1. Ошибка Возникает при серьезных трудностях, связанных с
    потерей данных или функциональности ОС (напри-
    мер, при сбое загрузки службы в момент ее запуска)
     
2. Предупреждение Возникает при событии, которое в момент записи в
    журнал не было существенным, но может привести к
    ошибкам в будущем (например, если на диске оста-
    лось мало свободного места)
     
3. Уведомление Возникает при событии, описывающее удачное за-
    вершение действия приложением, драйвером или
    службой (например, после успешной загрузки драй-
    вера)
4. Аудит успехов Возникает при событии, которое соответствует ус-
    пешно завершенному действию, связанному с под-
    держкой безопасности ОС (например, в случае ус-
    пешного входа пользователя в систему)




    Окончание табл. 8
       
Тип события Описание  
п/п.      
       
5. Аудит отказов Возникает при событии, которое соответствует не-  
    удачно завершенному действию, связанному с под-  
    держкой безопасности ОС (например, в случае не-  
    удачной попытки доступа пользователя к сетевому  
    диску)  
       

В журнале службы каталогов содержатся события,заносимыеслужбой каталогов ОС Windows. Например, проблемы соедине-ния между сервером и общим каталогом записываются в этот жур-

нал. Журнал службы репликации файлов содержит записи о систем-

ных событиях, внесенных службой репликации файлов ОС Windows. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена об-новляются данными об изменениях из общей папки Sysvol, где хра-нится серверная копия общих файлов, реплицируемых между всеми контроллерами домена. Кроме того, существует журналDNS-сервера,в который записываются сообщения об системных событи-ях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.

В ОС Windows за регистрацию системных событий в опи-санных выше журналах отвечает специальная служба, называемая службой журнала событий,которая загружается автоматическипри старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответствующих записей системных событий в реальном масштабе времени. При этом любой пользова-тель может просматривать журналы приложений и системы, одна-ко журналы безопасности доступны только системному админист-ратору, который предварительно должен настроить параметры системных событий аудита (табл. 7), воспользовавшись компонен-

том Групповая политика.

В настоящем разделе изучаются основные возможности реги-страции системных событий различных категорий посредством имеющегося в ОС Windows служебного инструмента – оснаст-ки Просмотр событий. Для ознакомления с возможностями дан-ной оснастки выполните следующее.

2.3.1. Добавьте в созданную ранее учебную консоль MMC Ди-агноз Настройка новую системную оснастку Просмотр событий.



2.3.2. В дереве консоли щелкните манипулятором мышь по оснастке Просмотр событий и обратите внимание на появившие-ся три журнала и их текущие размеры в области сведений справа. Последовательно перебирая журналы приложений, безопасности и системы, отметьте в них наличие всех указанных выше типов сис-темных событий (табл. 8). При этом обратите внимание на то, что такие типы событий, как аудиты отказов и успехов присущи толь-ко журналу безопасности, который был Вами настроен в преды-дущем разделе. Остальные типы событий встречаются как в жур-нале приложений, так и в журнале системы.

2.3.3. Воспользовавшись меню Вид изучаемой оснастки, от-фильтруйте:

– в журнале приложений событие Уведомление за прошедшее время,

– в журнале безопасность событие Аудит отказов за IV квартал,

– в журнале система событие Ошибка за последнюю неделю,

с сортировкой по дате от старых к новым.

2.3.4. В окне журнала событий системы удалите столбцы Пользователь, Компьютер и Категория,оставив остальные.

2.3.5. Воспользовавшись системой поиска, найдите событие типа Предупреждение с кодом 1003 от источника DHCP в журнале событий системы.

2.3.6. Создайте собственный журнал событий, содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность за-тирания старых событий при необходимости. Сохраните создан-ный журнал в двоичном виде с расширением .evt.

2.3.7. Создайте инструмент для регистрации событий аудита любого компьютера рабочей группы или домена и осуществите просмотр системных событий другого узла локальной сети с его помощью.

2.3.8. Не закрывая консоль администрирования ММС, сохра-ните ее. При выполнении заданий данного раздела выполните сле-дующее:

– перенесите последовательность выполняемых действий по каждому из пунктов 2.3.1–2.3.6 в отчет (возможно приведение гра-фических фрагментов, сделанных с экрана, в качестве демонстра-ционного материала).



3. Контрольные вопросы

1. Перечислите категории событий, предназначенные для контроля в ОС Windows.

2. Что представляет собой контейнер в ОС Windows?

3. В чем заключается разница в аудите в случае, когда флажок Применять этот аудит к объектам и контейнерам только внут-ри этого контейнера в диалоговом окне Элемент аудита уста-

новлен и когда он не установлен?

4. Что представляет собой репликация файла?

5. Что представляет собой контроллер домена?

6. Что представляет собой источник события?

7. Какие сведения содержит заголовок события?

Наши рекомендации