Журнал Безопасность

Журнал Безопасность содержит события, относящиеся к безопасности: вход в систему, выход из системы, изменения политик и другие события безопасности/аутентификации. Этот журнал позволяет отслеживать подключение пользователей к вашему компьютеру и служит для мониторинга других аспектов безопасности системы.

Замечание В главе 13 описывается выполнение анализа для просмотра таких действий, как доступ к диску, выполнение входа и выхода и другие важные события и модификации системы.

Журнал Система содержит события масштаба системы, которые не относятся напрямую к безопасности или к приложениям, к примеру, записи того, когда запускаются и останавливаются службы, когда перезагружается система, когда начинается и заканчивается сессия Удаленный помощник (Remote Assistance) и др. Журнал Система используется при устранении проблем, связанных с системой, таких как сбои в работе службы.

Чтобы просмотреть свойства события, дважды щелкните по событию либо выберите событие и нажмите Действие > Свойства (Action > Properties). На рис. 11.2 показано стандартное диалоговое окно Свойства (Properties) события.

Диалоговое окно свойств события содержит элементы с информацией о событии.

1. Дата/Время (Data/Time). Эти два поля отображают дату и время события. По умолчанию Просмотр событий сортирует события по дате и времени так, чтобы недавние события располагались вверху.

2. Тип (Туре). Отображает тип записанного события. Журнал событий использует пять различных типов событий:

— Ошибка (Error) — ошибка обозначает проблему, которая может вызвать потерю данных или функциональности, например, невозможность запуска или остановку службы;

— Предупреждение (Warning) - предупреждение обозначает элемент, который может вызвать проблему, но не столь значимую, как ошибка; примером подобного события является нехватка свободного места на диске или невозможность синхронизации службы времени с сервером времени;

— Уведомление (Information) — предоставляет информацию об успешных событиях для приложения, службы или драйвера; к примеру, при успешном запуске службы Windows ХР записывает событие Уведомление в журнал;

— Аудит успехов (Success Audit) — событие, соответствующее успешно завершенному действию, связанному с поддержкой безопасности системы, такому как вход, выход пользователя или доступ к диску;

аудит неудач — это простой способ мониторинга попытки обхода системы безопасности, устранения проблем аутентификации и других проблем, связанных с безопасностью.

3. Пользователь/Компьютер (User/Computer). Обозначает контекст безопасности, в котором произошло событие/Большая часть системных служб работает в контексте учетной записи System, и события, связанные с этими службами записывают учетную запись System как пользователя. События приложения обычно записывают имя приложения. Поле Компьютер содержит имя компьютера, на котором произошло событие. Это почти всегда имя локального компьютера, если не происходит управление журналом событий удаленного компьютера.

4. Источник (Source). В этом поле записано приложение или компонент системы, который сгенерировал событие. К примеру, при установке нового приложения из пакета Windows Installer возможно появление соответствующего события в Mslnstaller в качестве значения поля Источник. Кроме того, Service Control Manager является распространенным источником почти всех событий, связанных со службами.

5. Категория (Category). Эти сведения используются преимущественно в журнале Безопасность (Security), но могут появиться и в других журналах. Поле характеризует событие записями типа Смена политики (Policy Change), Системное событие (System Event) и Вход в систему (Account Logon).

6. Код (Event ID). Это поле уникальным образом определяет событие. К примеру, успешный вход в систему имеет ID-номер 680, а событие с ID-номером 7036 обозначает успешный запуск службы. ID-номер события полезен для определения проблем и устранения неполадок, связанных с событиями. Так, можно выполнить поиск в Microsoft Knowledge Base на предмет определенного ID, связанного к каким-либо компонентом^ приложением или службой, чтобы определить точную причину проблемы.

7. Описание (Description). Это поле обычно предоставляет больше всего информации. К примеру, в поле Описание для аудита успешного входа/выхода перечислены пользователь, домен и другие свойства аутентификации для события входа. Рассматривайте поле Описание как содержащее подробную информацию о событии.