Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохранять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный журнал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 4.7.
Варианты обработки заполненных файлов журнала аудита.
Таблица 4.6
Параметр | Описание |
Удалять старые события по необходимости (Overwrite Events As Needed) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания |
Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7) |
He удалять события (Do Not Overwrite Events) | Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности |
Действия для архивации, очистки или просмотра файла журнала.
|
|
Таблица 4.7
Действие | Выполните |
Сохранить журнал в архиве | Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла |
Очистить журнал | Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен |
Просмотреть архивированный журнал | Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала |
ЛАБОРАТОРНЫЕ ЗАДАНИЯ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ПО ИХ ВЫПОЛНЕНИЮ
Первое лабораторное задание
Планирование и настройка политики аудита ресурсов и событий
Планирование политики аудита
Для планирования политики аудита компьютера прежде всего нужно ответить на несколько вопросов.
• Какие типы событий регистрировать?
• Регистрировать успешные, неудачные попытки или оба вида событий?
Принимая решение, руководствуйтесь правилами, описанными далее.
• Необходимо регистрировать неудачные попытки доступа к компьютеру.
• Необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам.
• Необходимо отслеживать использование цветного принтера для подготовки счетов за его использование.
• Необходимо следить, не пытается ли кто-либо изменить аппаратную конфигурацию компьютера.
• Необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения.
• Необходимо вести учет процедур резервного копирования для предотвращения хищения данных.
• Необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.
Ваши решения по аудиту перечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.
|
|
Регистрируемое действие | Успех | Отказ |
События входа в систему | ||
Управление учетными записями | ||
Доступ к службе каталогов | ||
Вход в систему | ||
Доступ к объектам | ||
Изменение системной политики | ||
Использование привилегий | ||
Отслеживание процесса | ||
Системные события |