Занятие 3. Просмотр журнала безопасности средствами Event Viewer

(Продолжительность занятия 30 минут)

Программа Event Viewer (Просмотр событий) позволяет просматривать информацию об ошибках и предупреждениях, а также об успешных или неудачных запусках задач. На этом занятии мы расскажем о трех разновидностях журналов, создаваемых программой Event Viewer, сделав акцент на журнале безопасности. Кроме того, здесь Вы узнаете, как посмотреть информацию, записанную в результате аудита. Прежде чем приступать к этому занятию, изучите материал занятия 2.

• применять программу Event Viewer (просмотр событий) для просмотра журналов безопасности локальных и удаленных компьютеров;
• пользоваться командой меню Filter Events (Фильтр) для выделения и просмотра определенного класса событий;
• пользоваться командой меню Find (Найти) для поиска событий в журнале безопасности.

Типы журналов

Event Viewer позволяет просмотреть информацию об ошибках и предупреждениях, а также об успешных и неудачных запусках задач. Эта информация хранится в одном из трех описанных ниже журналов.

• Системный журнал (System log) содержит сообщения об ошибках, предупреждения и другую информацию, исходящую от операционной системы и компонентов сторонних производителей (например, драйвера сетевой карты). Список событий, регистрируемых в этом журнале, предопределен операционной системой Windows NT и компонентами сторонних производителей и не может быть изменен пользователем.
• Журнал безопасности (Security log) содержит информацию об успешных и неудачных попытках выполнения действий, регистрируемых средствами аудита. События, регистрируемые в этом журнале, определяются, заданной Вами стратегией аудита.
• Журнал приложении (Application log) содержит сообщения об ошибках, предупреждения и другую информацию, выдаваемую различными приложениями (системой управления базами данных, программой обработки электронной почты и т.д.). Список событий, регистрируемых в этом журнале, определяется разработчиками приложений.

Программа Event Viewer позволяет просматривать журналы любого компьютера, работающего под управлением Windows NT. Версии этой программы для Windows NT Workstation и Windows NT Server ничем не отличаются.

Условия просмотра журнала безопасности

Журнал безопасности находится на компьютере, на котором реализован аудит. Чтобы просмотреть журнал безопасности, Вам нужно быть членом группы Administrators (Администраторы) или Server Operators (Операторы сервера) компьютера, на котором находится этот журнал.

Например, если аудит установлен на компьютере под управлением Windows NT Workstation или на сервере, для просмотра журнала безопасности Вы должны обладать административными полномочиями на этом компьютере. Если же аудит реализуется на главном контроллере домена, для просмотра журнала безопасности необходимы административные полномочия в домене.

Просмотр журнала безопасности

В журнал безопасности записываются события, отслеживаемые при аудите. Успешно завершившиеся события отмечены изображением ключа, неудачные — изображением замка. Для каждого события указаны время и дата, когда оно произошло, а также его категория. Категория характеризует тип отслеживаемого события (то есть события, включенного в стратегию аудита).

В приведенной ниже таблице перечислены категории событий Event Viewer с указанием соответствующих им типов событий аудита.

Категория Event Viewer	Соответствующий ей тип события
Object Access (Доступ к объектам)	File and Object Access (Доступ к файлам и объектам)
System Event (Системное событие)	Restart, Shutdown and System (Перезагрузка, выключение и системные события)
Privilege Use (Использование привилегии)	Use of User Rights (Применение привилегий)
Account Management (Учетные записи)	User and Group Management (Управление пользователями и группами)
Logon/Logoff (Вход/выход)	Logon and Logoff (Вход и выход)
Detailed Tracking (Подробное отслеживание)	Process Tracking (Отслеживание процессов)
Policy Change (Изменение политики)	Security Policy Changes (Изменение политики безопасности)

> Создание записей в журнале безопасности

В этом упражнении Вы совершите несколько действий, в результате которых появятся соответствующие записи в журнале безопасности. Таким образом Вы увидите аудит в действии и, кроме того, создадите необходимый материал для следующих упражнений.

1. Зарегистрируйтесь в системе по учетной записи User9.
2. В. Windows NT Explorer (Проводник) раскройте папку LabFiles\Public\Library и дважды щелкните файл Bronte.txt, чтобы открыть его.
3. Закройте файл.
4. Выйдите из системы, а затем зарегистрируйтесь по учетной записи Administrator.
5. Создайте какую-нибудь новую учетную запись пользователя.
6. Перезагрузите компьютер.

> Просмотр журнала безопасности на локальном компьютере

1. Зарегистрируйтесь в системе по учетной записи Administrator.
2. В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт Event Viewer (Просмотр событий).

   Если Вы впервые запустили Event Viewer, на экране появится системный журнал Вашего компьютера. В противном случае появится журнал, который Вы просматривали в предыдущем сеансе работы программы.

3. В меню Log (Журнал) выберите пункт Security (Безопасность), если он еще не выбран.
4. Просмотрите журнал. Обратите внимание на следующие категории событий:
   • Logon/Logoff (Вход/выход);
   • Object Access (Доступ к объектам);
   • Privilege Use (Использование прав);
   • Account Management (Учетные записи).
5. Чтобы увидеть описание какого-либо события, дважды щелкните его либо, выделив событие, в меню View (Вид) выберите пункт Detail (Сведения).

> Просмотр журнала безопасности на удаленном компьютере

Если в Вашем распоряжении есть два компьютера, зарегистрируйтесь на втором по учетной записи Administrator и выполните это упражнение.

1. В меню Log (Журнал) выберите пункт Select Computer (Выбрать компьютер). Появится диалоговое окно Select Computer (Выбор компьютера).
2. В поле Computer (Компьютер) введите имя удаленного компьютера или дважды щелкните домен и выберите компьютер из списка.

Отбор событий

По умолчанию Event Viewer выводит на экран все события, зарегистрированные в журнале. Если Вас интересуют лишь некоторые из них, имеющие общие характеристики, воспользуйтесь командой Filter Events (Фильтр) меню View (Вид) для отбора событий. Когда режим фильтрования включен, в строке команды Filter Events (Фильтр) меню View (Вид) появится галочка, а в строке заголовка окна Event Viewer — примечание «Filtered» (Фильтр). Если команда Save Settings On Exit (Сохранять настройку при выходе) меню Options (Параметры) активна (в этом случае Вы увидите напротив нее галочку), то при выходе из Event Viewer функция фильтрования сохранится и будет применена к журналу при следующем запуске программы Event Viewer.

Фильтрование не оказывает влияния на содержимое журнала: оно изменяет только его визуальное представление. Все события остаются в журнале вне зависимости от того, применен к ним фильтр или нет.

В таблице описаны параметры диалогового окна Filter (Фильтр).

Параметр	Позволяет
View From/View Through (Начало/конец просмотра)	Указать диапазон дат интересующих Вас событий
Types (Типы событии)	Выбрать типы событии для просмотра
Source (Источник)	Указать программу или драйвер компонента, породившие это событие
Category (Категория)	Указать классификацию события, определяемую источником; например, для журнала безопасности это может быть категория Logon/Logoff
User (Пользователь)	Указать учетную запись пользователя для просмотра вызванных им событий
Computer (Компьютер)	Указать имя компьютера для просмотра вызванных им событий
Event ID (Код события)	Указать код сообщения. Он поможет представителям службы поддержки продукта отыскать нужные события

> Отбор событий категории Logon/Logoff

1. В меню Log (Журнал) программы Event Viewer выберите пункт Open (Открыть). Появится диалоговое окно Open (Открытие файла).
2. В папке LabFiles дважды щелкните файл Security.evt.

   Появится диалоговое окно Open File Type (Открытие журнала). По умолчанию выбран тип System (Системный журнал).

3. В группе Open File of Type (Тип журнала) щелкните переключатель Security (Журнал безопасности), а затем — кнопку ОК.

   В окне появится журнал безопасности из файла Security.evt.

4. В меню View (Вид) выберите пункт Filter Events (Фильтр). Появится диалоговое окно Filter (Фильтр).
5. В списке Source (Источник) выберите пункт Security.
6. В списке Category (Категория) выберите пункт Logon/Logoff (Вход/выход) и щелкните кнопку ОК.

   Обратите внимание, что рядом с каждым событием нарисован замок, свидетельствующий, что событие закончилось неудачей.

7. Чтобы посмотреть описание события, дважды щелкните его.

   В области Description (Описание) указаны причина неудачного окончания события и имя пользователя, который выполнял это действие (возможно, пытаясь нарушить защиту).

> Отбор событий несанкционированного доступа к папкам и файлам

1. В меню View (Вид) выберите пункт Filter Events (Фильтр). Появится диалоговое окно Filter (Фильтр).
2. В списке Source (Источник) выберите пункт Security (Безопасность).
3. В списке Category (Категория) щелкните строку Object Access (Доступ к объектам).
4. В области Types (Типы событий) оставьте установленным только флажок Failure Audit (Аудит отказов), а все остальные — сбросьте.
5. Щелкните кнопку ОК.
6. Дважды щелкните каждое событие, чтобы посмотреть его описание. Какой файл вызвал неудачное событие?

   ответ

---

Какое действие пытались совершить над этим файлом? Прокрутите информацию в поле Description (Описание) и обратите внимание на строку Accesses (Доступ).

ответ

---

Поиск событий

Чтобы найти события, принадлежащие к определенному типу, источнику или категории, пользуйтесь командой Find (Найти) меню View (Вид). Поиск особенно полезен при просмотре больших журналов. Например, Вы можете найти все события типа «Warning» (Предупреждение), связанные с определенной программой, или все события типа «Error» (Ошибка) ото всех источников.

В отличие от фильтрования режим поиска не позволяет искать события с учетом их даты, однако Вы можете выполнять поиск по тексту в описании событий.

> Поиск событий, связанных с использованием принтера

1. В меню View (Вид) щелкните пункт All Events (Все события).
2. В меню View (Вид) выберите команду Find (Найти). Появится диалоговое окно Find (Поиск).
3. В поле Description (Описание) введите текст printer и щелкните кнопку Find Next (Найти далее).

   Будет найдено первое событие, связанное с принтером.

4. В меню View (Вид) щелкните пункт Detail (Сведения).

   В области Description (Описание) содержится информация о том, что пользователь распечатывал файл.

5. Щелкните кнопку Close (Закрыть).

> Поиск событии, связанных с сервером

1. В меню View (Вид) выберите команду Find (Hайти) Появится диалоговое окно Find (Поиск).
2. Щелкните кнопку Clear (Очистить) для очистки параметров диалогового окна.
3. В поле Description (Описание) наберите текст shutdown и щелкните кнопку Find Next (Найти далее). Будет найдено первое событие, связанное с отключением компьютера.
4. В меню View (Вид) щелкните пункт Detail (Сведения).

   Обратите внимание на время последнего выключения компьютера.

5. Щелкните кнопку Close (Закрыть).

Архивирование журнала безопасности

Архивы содержат информацию более давнюю, нежели текущий журнал. Ее анализ позволяет выявить тенденции в развитии системы, а оценка тенденций — выяснить интенсивность использования ресурсов и спланировать развитие системы. Если Ваша проблема — несанкционированный доступ к ресурсам, изучение тенденций поможет Вам улучшить схему защиты.

При выборе событий для аудита следует учитывать возможность переполнения журнала. Однако этого можно избежать с помощью диалогового окна Event Log Settings (Настройка журнала событий). Оно позволяет управлять:

• размером архивируемых журналов:
• размер по умолчанию — 512 кб, однако журналы могут быть размером от 64 до 4 194 240 кб;
• методом замещения устаревших записей журнала:
  • Overwrite Events as Needed (Замещать записи по мере необходимости);
  • Overwrite Events Older than x days (Замещать записи по истечении х дней) — в этом случае нужно указать число дней;
  • Do Not Overwrite Events (Clear Log Manually) [Записи не замещаются (очистка журнала проводится вручную)] — если Вы выбрали этот режим, Вам понадобится сохранить текущую версию журнала в архиве перед его очисткой.

> Управление размером журнала и методом регистрации событии

1. В меню Log (Журнал) выберите пункт Log Settings (Настройка журнала). Появится диалоговое окно Event Log Settings (Настройка журнала событий).
2. Щелкните переключатель Overwrite Events as Needed (По мере необходимости). Самые старые события будут замещаться вновь поступающими. Имейте в виду, что некоторые события регулярно повторяются через небольшие интервалы времени, поэтому использование этого параметра может привести к потере важной информации.
3. Щелкните кнопку ОК.

> Архивирование журнала безопасности

1. Убедитесь, что в меню Log (Журнал) активна команда Security (Безопасность) — то есть около нее стоит галочка, — и щелкните пункт Save As (Сохранить как).
2. Сохраните журнал в папке LabFiles под каким-нибудь информативным именем.

 

---

Совет Архивируя журналы безопасности, используйте в имени архивного файла дату. Это позволит быстрее найти нужный файл.

---

> Очистка журнала безопасности

1. В меню Log (Журнал) выберите пункт Clear All Events (Очистить все события).

   Появится сообщение с вопросом, не хотите ли Вы сохранить журнал перед его закрытием.

2. Щелкните кнопку No (Нет).

   Появится другое сообщение, предупреждающее, что данная операция необратима, и запрашивающее подтверждение необходимости ее выполнение.

3. Щелкните кнопку Yes (Да).

   Обратите внимание на то, что в журнале безопасности появилось системное сообщение.

4. Дважды щелкните событие, чтобы прочесть его описание. Описание гласит, что журнал аудита был очищен.
5. Щелкните кнопку Close (Закрыть).

> Просмотр архивированного журнала защиты

1. В меню Log (Журнал) выберите команду Open (Открыть).
2. В диалоговом окне Open (Открытие файла) найдите и дважды щелкните заархивированный журнал.

   Появится диалоговое окно Open File Type (Открытие журнала).

3. В группе Open File of Type (Тип файла) щелкните переключатель Security (Журнал безопасности), а затем — кнопку ОК.
4. Закройте программу Event Viewer и выйдите из системы.

Резюме

• Event Viewer — это административное инструментальное средство, предназначенное для просмотра журнала безопасности на любом компьютере под управлением Windows NT.
• В журнале безопасности регистрируются успешные и неудачные (в зависимости от выбранного исхода) события, отслеживаемые в процессе аудита.
• Чтобы иметь возможность просмотреть журнал безопасности, надо быть членом группы Administrators (Администраторы) или Server Operators (Операторы сервера) на том компьютере, где находится журнал. Если компьютер находится в другом домене, между доменами должны быть установлены необходимые доверительные отношения.
• Для отбора событий, которые должны появляться в журнале безопасности при запуске программы Event Viewer, пользуйтесь командами меню Filter Events (Фильтр).
• Для поиска событий в журнале безопасности пользуйтесь командами меню Find (Найти).
• Архивируйте журналы безопасности для последующего анализа тенденций в работе системе. Это поможет Вам определить интенсивность использования ресурсов и планировать развитие системы.

Дополнительную информацию о...	Вы найдете в...
использовании программы Event Viewer	справке программы Event Viewer; главе 9, «Monitoring Events», документа Microsoft Windows NT Server Concepts and Planning; главе 37, «Windows NT Workstation Troubleshooting», комплекта документации Microsoft Windows NT Workstation Resource Kit
доверительных отношениях	главе 1, «Managing Windows NT Server Domains», документа Microsoft Windows NT Server Concepts and Planning
административных полномочиях	главе З, «Создание учетных записей групп», настоящего курса; главе 2, «Working With User and Group Accounts», документа Microsoft Windows NT Server Concepts and Planning
расшифровке событий	главе 9, «Monitoring Events», документа Microsoft Windows NT Server Concepts and Planning; главе 37, «Windows NT Workstation roubleshooting», комплекта документации Microsoft Windows NT Workstation Resource Kit