ЛАБОРАТОРНА РОБОТА № 6. Робота з журналами подій у MS Windows XP

Мета: Ознайомитися із призначенням і навчитися використовувати журнали подій для моніторингу подій в системі MS Windows XP.

Зауваження. Для виконання завдання лабораторної роботи потрібно зайти в систему з обліковим записом Администратор або як член групи Администраторы.

Теоретичні відомості

1. Журнали подій

У журналах подій засобу перегляду подій відображаються відомості про неполадки устаткування, додатків і системи. Крім того, є можливість перегляду подій безпеки MS Windows XP.

Служба журналів подій запускається автоматично при запуску MS Windows. Усі користувачі можуть проглядати журнали додатків і системи. Журнали безпеки доступні тільки системному адміністраторові.

За умовчанням звіти в журнал безпеки не заносяться. Для включення запису подій в журнал безпеки можна скористатися компонентом Групповая политика. Адміністратор може налагодити параметри реєстру для політики аудиту так, що робота системи припинятиметься у разі неможливості подальшого запису відомостей в журнал безпеки.

На комп’ютері під управлінням будь-якої версії MS Windows XP ведеться запис подій в журнали трьох видів.

1.1. Журнал додатків

У журналі додатків містяться дані, що відносяться до роботи додатків і програм. Записи цього журналу створюються самими застосуваннями. Події, що вносяться до журналу додатків, визначаються розробниками відповідних додатків.

1.2. Журнал безпеки

Журнал безпеки містить записи про такі події, як успішні і безуспішні спроби доступу в систему, а також про події, що відносяться до використання ресурсів, наприклад про створення, відкриття і видалення файлів і інших об’єктів. Рішення про події, відомості про яких заносяться в журнал безпеки, приймає адміністратор. Наприклад, після дозволу аудиту входу в систему зведення про всі спроби входу заносяться в журнал безпеки.

1.3. Журнал системи

Журнал системи містить записи про події, внесені компонентами системи Windows XP. Наприклад, в журналі системи реєструються збої при завантаженні драйвера або інших системних компонентів при запуску системи. У операційній системі MS Windows XP жорстко зафіксовані типи подій, що заносяться в системний журнал.

1.4. Журнали контролеру домену

На комп’ютері під управлінням MS Windows, настроєному як контролер домена, ведеться запис подій в два додаткові журнали.

1.4.1. Журнал служби каталогів

Журнал системи містить записи про події, внесені компонентами системи Windows. Наприклад, проблеми з’єднання між сервером і загальним каталогом записуються в журнал служби каталогів

1.4.2. Журнал служби реплікації файлів

Журнал служби реплікації файлів містить записи про події, внесені службою реплікації файлів MS Windows. У журнал реплікації файлів, наприклад, записуються невдачі при реплікації файлів і події, які відбуваються, поки контролери домена оновлюються даними про зміни sysvol.

1.5. Журнал DNS-сервера

Комп’ютер з операційною системою Windows, настроєний як DNS-сервер, записує події в додатковий журнал.

Журнал DNS-сервера містить події, внесені компонентами DNS-служби Windows. Події, пов’язані з дозволом імен DNS адресам IP записуються в цей журнал.

1.6. Опис події

1.6.1. Типи подій

Формат і зміст опису події залежать від типу події. Опис події зазвичай містить найбільш корисні відомості, що відносяться до причини і значущості події.

У журнали подій заносяться події п’яти різних типів, які відображаються у вікні Просмотр событий (табл. 6.1).

Таблиця 6.1

Типи подій

Тип події 

Опис 

Помилка 

Серйозні труднощі, такі як втрата даних або функціональності. Наприклад, якщо відбувається збій завантаження служби при запуску, в журнал заноситься повідомлення про подію типу «Помилка»

Попередження 

Події, які у момент запису в журнал не були істотними, але можуть привести до складнощів в майбутньому. Наприклад, якщо на диску залишилося мало вільного місця, в журнал заноситься попередження

Повідомлення 

Подія, що описує вдале завершення дії застосуванням, драйвером або службою. Наприклад, після успішного завантаження драйвера в журнал заноситься подія повідомлення

Аудит успіхів 

Подія, відповідна успішно завершеній дії, пов’язаній з підтримкою безпеки системи. Наприклад, у разі успішного входу користувача в систему в журнал заноситься подія типу «Аудит успіхів»

Аудит відмов 

Подія, відповідна невдало завершеній дії, пов’язаній з підтримкою безпеки системи. Наприклад, у разі невдалої спроби доступу користувача до мережного диска в журнал заноситься подія типу «Аудит відмов»

Примітки

1. Поле додаткових даних може містити двійкові дані, які можуть відображатися у вигляді байтів або слів. Ці дані генеруються програмою-джерелом запису журналу подій. Вони відображаються в шістнадцятковому форматі. Їх зміст може роз’яснити фахівець служби підтримки вихідної програми.

2. При перегляді журналу додатків або системи на сервері LAN Manager 2.x відображаються тільки дата, час, джерело і код події. При перегляді журналу безпеки на сервері LAN Manager 2.x відображаються тільки дата, час, категорія, користувач і комп’ютер.

 

1.6.2. Заголовок події

Події, які заносяться в журнал мають заголовок. Заголовок події містить наступні відомості (табл. 6.2).

 

Таблиця 6.2

Структура заголовку події

Відомості 

Опис 

Дата 

Дата, що відповідає події

Час 

Локальний час, коли відбулась дана подія

Користувач 

Ім’я користувача, дії якого привели до даної події. Це ім’я відповідає коду процесу клієнта, якщо подія була викликана процесом-сервером, і коду основного процесу у випадку, якщо користувач не причетний до події. В деяких випадках запис журналу безпеки містить обидва коди. Уособлення відбувається в тих випадках, коли в Windows XP одному процесу привласнює атрибути безпеки іншого процесу

Комп’ютер 

Ім’я комп’ютера, на якому відбулась подія. Зазвичай це ім’я локального комп’ютера, якщо перегляд подій не відбувається з іншого комп’ютера Windows XP

Код події 

Число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005  це ідентифікатор події, яка відбувається при запуску служби ведення журналів подій. Відповідно, на початку опису цієї події знаходиться рядок “Запущена служба журналу подій”. Код події і ім’я джерела запису можуть використовуватися представниками групи підтримки програмного продукту для усунення неполадок

Джерело 

Програма, що занесла подію. Це може бути як ім’я програми, наприклад, “SQL
Server“, так і назва компоненту системи або великого застосування наприклад, назва драйвера. Наприклад, “Elnkii” визначає EtherLink II драйвер

Тип 

Рівень важливості події: «Помилка», «Повідомлення» або «Попередження» в журналах системи і застосувань; «Аудит успіхів» або «Аудит відмов» в журналі безпеки. У вікні перегляду подій тип події представлений відповідним значком

Категорія 

Категорія події залежно від джерела події. Ці відомості використовуються переважно в журналі безпеки. Наприклад, для аудиту подій безпеки категорія відповідає одному з типів подій, для яких в груповій політиці може бути включений аудит успіхів або відмов

 

2. Налагодження параметрів подій, що заносяться в журнал

Ведення журналів додатків і системи починається автоматично при запуску комп’ютера. Ведення журналів припиняється, коли журнал повний, а його перезапис заборонений, або якщо очищення журналу виконується тільки уручну, а перша подія в журналі ще не застаріло. Налагодження журналу безпеки виконується в оснащенні Групповая политика.

Щоб визначити параметри ведення журналів всіх типів, в дереві консолі перегляду подій клацніть необхідний журнал правою кнопкою миші і виберіть команду Свойства. На вкладці Общие задайте максимальний розмір журналу і виберіть режим видалення старих подій.

За умовчанням політика ведення журналу передбачає перезапис журналу при необхідності і зберігання подій не менше 7 днів. Можна вибрати спеціальну політику заміни записів для журналу кожного типу.

Можливі різні варіанти дій після
досягнення максимального розміру журналу (табл. 6.3).

Таблиця 6.3

Управління переповненням журналу

Застосування 

Дія 

Затирать старые события по необходимости

Нові записи продовжують заноситися в журнал після його заповнення. Кожна нова подія замінює в журналі найбільш стару. Цей вибір хороший в тих випадках, коли немає необхідності в жорсткому контролі за роботою системи

Затирать события старее [x] дней

Перезапис подій, що зберігаються довше вказаного часу. За умовчанням події зберігаються 7 днів. Цей вибір хороший для щотижневої архівації журналу. Такий підхід мінімізує вірогідність втрати важливих записів і дає можливість витримувати розмір журналу в розумних межах

Не затирать события

Очищення журналу тільки уручну. Цей режим потрібно вибирати в тих випадках, коли втрата записів абсолютно недопустима (наприклад, для журналу безпеки, коли безпека системи виключно важлива)

 

Примітки

1. Якщо журнал переповнений і не дає можливості додавати нові записи, можна уручну звільнити його, очистивши від записів. Скорочення терміну зберігання записів також приводить до звільнення журналу для реєстрації нових подій.

2. За умовчанням максимальний розмір всіх файлів журналів  512  Кбайт. Максимальний розмір файлу журналу можна збільшити, наскільки це дає можливість диск або пам’ять, або зменшити. Перед зменшенням розміру журналу необхідно очистити його від записів.

 

3. Робота з журналами

3.1. Включення журналу безпеки

Включення журналу безпеки здійснюється через компонент Групповая политика. Компонент Групповая политика доступний тільки для адміністраторів. Тому, щоб включити занесення відомостей в журнал безпеки, необхідно увійти до системи з обліковим записом Администратор або члена групи Администраторы.

Аудит безпеки для робочих станцій, рядових серверів і контролерів домена може бути віддалено включений тільки адміністраторами домена.

Якщо комп’ютер підключений до мережі, ведення журналу безпеки може бути заборонене або відключене параметрами мережної політики.

Розмір журналу безпеки обмежений, тому треба розумно підходити до вибору подій для аудиту, враховуючи максимальний розмір дискового простору, наданого для журналу.

Якщо на віддаленому комп’ютері дозволений аудит безпеки, віддалені журнали подій відображаються у вікні перегляду подій. Для управління з віддаленого комп’ютера потрібно відкрити консоль MMC в режимі автора і додати до неї перегляд подій. У діалоговому вікні з питанням, яким комп’ютером управлятиме оснащення, вибрати Другим компьютером і ввести ім’я віддаленого комп’ютера.

Для включення журналу безпеки потрібно виконати такі дії.

1. Натисніть кнопку Пуск, виберіть команду Выполнить, введіть mmc /a (зверніть увагу на наявність пропуску між mmc і /a) і натисніть кнопку OK.

Якщо консоль була заздалегідь збережена за допомогою групової політики, можна відкрити збережену консоль і перейти до кроку 5.

2. У меню Файл виберіть команду Добавить/удалить оснастку і натисніть кнопку Добавить.

3. У полі Оснастка, виберіть Групповая политика, потім натисніть кнопку Добавить.

4. У полі Выбор объекта групповой политики виберіть Локальный компьютер, натисніть кнопку Готово, потім кнопку Закрыть і потім кнопку OK.

5. У вузлі Корень консоли двічі клацніть компонент Политика «Локальный компьютер» і двічі клацніть Политика аудита.

Розташування: \Политика «Локальный компьютер» \Конфигурация компьютера \Конфигурация Windows\Параметры безопасности \Локальные политики \Политика аудита

6. В області відомостей виберіть атрибут або подію для аудиту.

7. У вікні Свойства виберіть відповідні параметри і натисніть кнопку OK.

8. Повторіть кроки 6 і 7 для інших подій, що підлягають аудиту.

Дана процедура застосовується на комп’ютерах з MS Windows XP Professional і MS Windows XP 64-bit Edition, а також на комп’ютерах з MS Windows 2000, що працюють як автономні або рядові сервери.

3.2. Робота з журналом подій

Щоб відкрити вікно перегляду подій, натисніть кнопку Пуск, виберіть команди Панель управления, Производительность и обслуживание, Администрирование, а потім двічі клацніть значок Просмотр событий.

 

3.2.1. Установка параметрів журналу подій

Для встановлення параметрів журналу подій потрібно виконати такі дії.

1.    Запустити програму Просмотр событий.

2.    У дереві консолі виберіть журнал, параметри якого потрібно встановити.

3.    У меню Действие виберіть команду Свойства.

4.    На вкладці Общие встановіть необхідні параметри.

Щоб відновити параметри за умовчанням, натиснути кнопку Восстановить умолчания.

Щоб очистити журнал, натисніть кнопку Очистить журнал.

У групі Размер журнала виберіть один з наступних параметрів:

  • якщо не потрібно зберігати вибраний журнал у файлі, виберіть перемикач Затирать старые события по необходимости;
  • щоб періодично зберігати журнал, виберіть перемикач Затирать события старее і вкажіть відповідне число днів (значення в полі Максимальный размер журнала повинно бути досить великим, щоб вміщати всі події за період).

Щоб зберігати всі події в журналі, виберіть перемикач Не затирать события (чистка журнала вручную). Цей параметр вимагає ручного очищення журналу. При досягненні журналом максимального розміру нові події не заносяться в журнал.

 

3.2.2. Перегляд відомостей про події

Для перегляду відомостей з журналу подій потрібно виконати такі дії.

  1. Відкрити вікно Просмотр событий.
  2. У дереві консолі виберіть потрібний журнал.
  3. В області відомостей виберіть потрібну подію.
  4. У меню Действие виберіть команду Свойства.

Щоб проглянути двійкові дані у вигляді символів, в полі Данные виберіть перемикач Байты. Щоб проглянути дані у вигляді, виберіть перемикач Слова.

Двійкові дані генеруються не для всіх подій. Двійкові дані призначені для використання досвідченими програмістами або співробітниками служби підтримки, знайомими з вихідним додатком.

Щоб проглянути відомості про попередню або наступну подію, натискайте кнопки із стрілками вгору або вниз. Щоб скопіювати відомості про подію, натисніть кнопку Копировать.

Щоб зберегти опис події в двійковій формі, потрібно зберегти журнал у форматі файлу журналу (*.evt). При збереженні журналу в текстовому форматі (*.txt) або в текстовому форматі з роздільниками (*.csv) двійкові дані втрачаються.

 

3.2.3. Збереження журналу у файлі

Журнал подій, збережений в основному форматі файлу журналу, може згодом бути вивчений у вікні перегляду подій. У журналі, збереженому у форматі файлу журналу подій (*.evt), зберігаються двійкові дані для кожної записаної події.

Журнал, збережений в текстовому форматі або форматі з розділенням записів комами (*.txt і *.csv, відповідно), може бути відкритий в інших програмах, наприклад в текстових редакторах або в програмах обробки електронних таблиць. Двійкові дані журналу, збереженого в текстовому форматі або у форматі з розділенням записів комами, втрачаються.

При збереженні файлу журналу зберігається весь журнал, незалежно від встановленого фільтра.

При збереженні журналу порядок сортування буде втрачений.

Для збереження журналу подій у файлі потрібно виконати такі дії.

  1. Запустити програму Просмотр событий.
  2. У дереві консолі виберіть журнал, який потрібно зберегти у файлі.
  3. У меню Действие виберіть команду Сохранить файл журнала как.
  4. У полі Имя файла введіть ім’я файлу, в якому буде збережений журнал.
  5. У полі із списком Тип файла виберіть формат файлу і натисніть кнопку Сохранить.

Збереження журналу у файлі не впливає на вміст поточного журналу подій. Щоб очистити журнал, в меню Действие виберіть команду Стереть все события.

 

3.3. Управління журналами подій з командного рядка

На додаток до журналу перегляду подій можна використовувати службові програми командного рядка для створення і виконання запитів в журналах подій і зв’язку програм з конкретно занесеними в журнал подіями. Наприклад, програма Eventcreate.exe (рис. 6.1) дає можливість створювати призначені для користувача журнали подій. Програма Eventquery.vbs слугує для виведення списку подій і їх властивостей з одного або декількох журналів подій. Програма Eventtriggers.exe дає можливість створити події тригерів, які запустять програми з числа певних журналів подій.

 

Практичне завдання

1. Налагодити журнали подій MS Windows XP.

2. Описати параметри налагодження журналів подій MS Windows XP.

3. Оформити звіт по роботі у відповідності з додатком.

 


Рис. 6.1. Команда eventcreate.exe

Контрольні запитання

1. Які основні журнали подій використовуються у MS Windows XP?

2. Які журнали подій використовуються на комп’ютері під управлінням MS Windows, настроєному як контролер домена?

3. Які журнали подій використовуються на комп’ютері з операційною системою MS Windows, настроєному як DNS-сервер?

4. Які відомості містить заголовок події?

5. Які варіанти дій можливі після досягнення максимального розміру журналу?

6. Де розміщується журнал безпеки?

7. Як включити журнал безпеки?

8. Як переглянути відомості про події?

9. Як встановити параметри журналу подій?

10. Як зберегти журнал у файлі?

завантаження...
WordPress: 22.97MB | MySQL:26 | 0,320sec