Основные возможности оснастки Просмотр событий

 

В предыдущем разделе был изучен вопрос организации и на-стройки аудита системных событий различных категорий, в част-ности, событий, связанных с обеспечением безопасности ОС. Од-нако, помимо указанных, в ОС Windows дополнительно име-ются события других категорий, например, события, связанные с работой приложений и программ. Поскольку аудит предполагает

 

регистрацию различного рода системных событий (табл. 8), имеющих место в операционной среде, их регистрация в ОС Windows осуществляется в журналах трех основных типов, описание которых представлено после таблицы. В журнале при-ложений содержатся данные,относящиеся к работе приложений.Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствую-щих приложений.

 

Журнал безопасности содержит записи о таких событиях какуспешные и безуспешные попытки доступа в ОС, а также о собы-тиях, относящихся к использованию системных ресурсов. В част-ности, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущем разделе. В журнале систе-мы содержатся события системных компонентов ОС.Так,напри-мер, в журнале системы регистрируются сбои при загрузке драй-вера или других программных компонентов в момент запуска сис-темы. В дополнение к существующим ОС Windows имеет в своем распоряжении еще два журнала: службы каталогов и служ-бы репликации файлов,запись событий в которые выполняется вслучае, если компьютер настроен в качестве контроллера домена.

 

Таблица 8

Типы системных событий в ОС Windows

 

№	Тип события	Описание
п/п
1.	Ошибка	Возникает при серьезных трудностях, связанных с
		потерей данных или функциональности ОС (напри-
		мер, при сбое загрузки службы в момент ее запуска)
2.	Предупреждение	Возникает при событии, которое в момент записи в
		журнал не было существенным, но может привести к
		ошибкам в будущем (например, если на диске оста-
		лось мало свободного места)
3.	Уведомление	Возникает при событии, описывающее удачное за-
		вершение действия приложением, драйвером или
		службой (например, после успешной загрузки драй-
		вера)
4.	Аудит успехов	Возникает при событии, которое соответствует ус-
		пешно завершенному действию, связанному с под-
		держкой безопасности ОС (например, в случае ус-
		пешного входа пользователя в систему)

 

		Окончание табл. 8
№	Тип события	Описание
п/п.
5.	Аудит отказов	Возникает при событии, которое соответствует не-
		удачно завершенному действию, связанному с под-
		держкой безопасности ОС (например, в случае не-
		удачной попытки доступа пользователя к сетевому
		диску)

 

В журнале службы каталогов содержатся события,заносимыеслужбой каталогов ОС Windows. Например, проблемы соедине-ния между сервером и общим каталогом записываются в этот жур-

нал. Журнал службы репликации файлов содержит записи о систем-

 

ных событиях, внесенных службой репликации файлов ОС Windows. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена об-новляются данными об изменениях из общей папки Sysvol, где хра-нится серверная копия общих файлов, реплицируемых между всеми контроллерами домена. Кроме того, существует журналDNS-сервера,в который записываются сообщения об системных событи-ях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.

 

В ОС Windows за регистрацию системных событий в опи-санных выше журналах отвечает специальная служба, называемая службой журнала событий,которая загружается автоматическипри старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответствующих записей системных событий в реальном масштабе времени. При этом любой пользова-тель может просматривать журналы приложений и системы, одна-ко журналы безопасности доступны только системному админист-ратору, который предварительно должен настроить параметры системных событий аудита (табл. 7), воспользовавшись компонен-

 

том Групповая политика.

 

В настоящем разделе изучаются основные возможности реги-страции системных событий различных категорий посредством имеющегося в ОС Windows служебного инструмента – оснаст-ки Просмотр событий. Для ознакомления с возможностями дан-ной оснастки выполните следующее.

 

2.3.1. Добавьте в созданную ранее учебную консоль MMC Ди-агноз Настройка новую системную оснастку Просмотр событий.

 

2.3.2. В дереве консоли щелкните манипулятором мышь по оснастке Просмотр событий и обратите внимание на появившие-ся три журнала и их текущие размеры в области сведений справа. Последовательно перебирая журналы приложений, безопасности и системы, отметьте в них наличие всех указанных выше типов сис-темных событий (табл. 8). При этом обратите внимание на то, что такие типы событий, как аудиты отказов и успехов присущи толь-ко журналу безопасности, который был Вами настроен в преды-дущем разделе. Остальные типы событий встречаются как в жур-нале приложений, так и в журнале системы.

 

2.3.3. Воспользовавшись меню Вид изучаемой оснастки, от-фильтруйте:

 

– в журнале приложений событие Уведомление за прошедшее время,

 

– в журнале безопасность событие Аудит отказов за IV квартал,

– в журнале система событие Ошибка за последнюю неделю,

с сортировкой по дате от старых к новым.

 

2.3.4. В окне журнала событий системы удалите столбцы Пользователь, Компьютер и Категория,оставив остальные.

 

2.3.5. Воспользовавшись системой поиска, найдите событие типа Предупреждение с кодом 1003 от источника DHCP в журнале событий системы.

 

2.3.6. Создайте собственный журнал событий, содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность за-тирания старых событий при необходимости. Сохраните создан-ный журнал в двоичном виде с расширением.evt.

 

2.3.7. Создайте инструмент для регистрации событий аудита любого компьютера рабочей группы или домена и осуществите просмотр системных событий другого узла локальной сети с его помощью.

 

2.3.8. Не закрывая консоль администрирования ММС, сохра-ните ее. При выполнении заданий данного раздела выполните сле-дующее:

 

– перенесите последовательность выполняемых действий по каждому из пунктов 2.3.1–2.3.6 в отчет (возможно приведение гра-фических фрагментов, сделанных с экрана, в качестве демонстра-ционного материала).

 

3. Контрольные вопросы

 

1. Перечислите категории событий, предназначенные для контроля в ОС Windows.

 

2. Что представляет собой контейнер в ОС Windows?

 

3. В чем заключается разница в аудите в случае, когда флажок Применять этот аудит к объектам и контейнерам только внут-ри этого контейнера в диалоговом окне Элемент аудита уста-

 

новлен и когда он не установлен?

4. Что представляет собой репликация файла?

5. Что представляет собой контроллер домена?

 

6. Что представляет собой источник события?

7. Какие сведения содержит заголовок события?