Раздел: Документация

0 ... 52 53 54 55 56 57 58 ... 125

9. Для определения отдельных пользователей щелкните мышью по группе, а затем по кнопке Show Users (Показать пользователей). Щелкните мышью по имени пользователя, а затем по кнопке Add. Имя пользователя будет выведено в поле Add Names в нижней части диалогового окна.

10.Можно также использовать для поиска пользователей или групп кнопку Search.

11.После завершения выбора пользователей и/или групп, доступ которых к заданному файлу или каталогу будет регистрироваться, вернитесь в диалоговое окно Directory Auditing, щелкнув мышью по кнопке ОК.

12.Щелчком мыши по кнопке ОК завершите процесс. Теперь указанные вами события доступа к файлу или каталогу будут записываться в файлы Event Log.

Из рис. 8.2 видно, что существует шесть типов событий, которые могут регистрироваться для файла или каталога:

О Read (Чтение);

О Write (Запись);

О Execute (Выполнение);

О Delete (Удаление);

О Change Permission (Изменение прав доступа); О Take Ownership (Изменение владельца).

Примерно так же включается регистрация доступа к принтеру. Но вместо Windows NT Explorer используется диалоговое окно Properties для принтера, которое появляется после щелчка правой кнопкой мыши на значке принтера в папке My Computer => Printers.

Для принтеров, в отличие от файлов и каталогов, регистрируются другие события:

О Print (Печать);

О Full Control (Полный контроль); О Delete (Удаление);

О Change Permission (Изменение прав доступа); О Take Ownership (Изменение владельца).

Просмотр журнала в Event Viewer

Event Viewer также находится в папке Administrative Tools и позволяет просмотреть все события, регистрируемые операционной системой Windows NT. Записи размещены в трех различных журналах (см. табл. 8.4), и нужный можно выбрать при помощи Event Viewer.

---

Таблица 8.4. Журналы, доступные из Event Viewer

HliWjn Опи-сние

Svs1 L У ытия, связанные с работой системы, такие как старт и завершение рабаты сист< л,

и отказы устройств Application События, записываемые приложениями

Security Выбранные вами события, связанные с вопросами безопасности

Журналы System и Application бывают полезными при поиске неисправностей, а журнал Security содержит записи о событиях, регистрацию которых вы включили.

Просмотр событий в Event Viewer

1.Выберите Start => Programs => Administrative Tools => Event Viewer.

2.Откройте журнал Security, отметив одноименный пункт в меню Log (см. рис. 8.4).

3.Для перемещения по журналу пользуйтесь полосой прокрутки. По умолчанию более поздние события выводятся в начале журнала.

4.Чтобы увидеть подробное описание события, дважды щелкните по нему мышью.

Ш. Event Viewer - Security Log on WPQPEYE

log y.iew , Options Help Date

ЗДЗ/99

6/3/99 6/3/99 6/3/99 6/3/99 <6/3/99 < 6/3/99

6/3/99 6/3/99 <6/3/99 <6/3/99 6/3/99 6/3/99 6/3/99 6/3/99 ЧВД99 6/3/99 <6/3/99

Time	{Source
7:15:22 AM	Security
7:13:25 AM	Security
6:56:55 AM	Security
6:54:34 AM	Security
6:53 58 AM	Security
6:49:33 AM	Security
6:48:14 AM	Security
6:45:26 AM	Security
6:4526 AM	Security
6:45.26 AM	Security
6:45:25 AM	Security
6:41:10 AM	Security
6:40:35 AM	Security
6:40:35 AM	Security
6:40:35 AM	Security
6:40:35 AM	Security
6:38:46 AM	Security
6:38:45 AM	Security
6:24:56 AM	Security
6.24.55 AM	Security
6:24:38 AM	Security

{Category

Event User

Detailed Trackinq592

Detailed Tracking 592 Privilege Use 576 Detailed Tracking 592 Detailed Tracking 593 Detailed Tracking 593 Detailed Tracking593 Privilege Use 578 Privilege Use 578 Privilege Use 578 Privilege Use 578 Detailed Tracking592 Privilege Use 578 Privilege Use 578 Privilege Use 578 Privilege Use 576 Detailed Tracking 593 Detailed Tracking 592 Policy Change 612 Detailed Tracking 593 Detailed Tracking 592

Co

Administrator В

Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator Administrator lT

Рис. 8.4. Список записей из журнала Security в окне Event Viewer

---

Управление журналами событий

В Event Viewer можно также управлять записью событий в файлы и экспортировать данные в файл, который удобно загрузить в электронную таблицу или другую программу. Для сохранения записей в текстовом файле выберите в меню Log пункт Save As (Сохранить как), а затем в поле Туре (Тип) - Comma Delimited Text (Текст, разделенный запятыми). Если размер log-файла станет слишком большим, его можно очистить, отметив в меню Log пункт Clear All Events (Очистить все события).

Для управления размером log-файла служит команда Settings (Установки) в меню File.

Управление log-файлами

1.Выберите Log => Settings. Появится диалоговое окно Event Log Settings (см. рис. 8.5).

2.Отметьте журнал Security в списке Change Settings (Поменять установки).

Event Log Settings

o£hange Settings tot ] System

OK

П Security
П Application	а (B4K Increments)

:Event Log Wrapping-----

Overwrite Events as Needed : Overwrite Events Older than

Cancel

Default

Help

"H Days

С fio Not Overwrite Events (Clear Log Manually)

Рис. 8.5 Размером log-файла можно управлять из диалогового окна Event Log Settings

На рис. 8.4 видно, что первая строка каждой записи начинается с пиктограммы. Эти пиктограммы, облегчающие обнаружение критических событий в журнале, обозначают следующее:

О красный знак STOP - ошибка;

О восклицательный знак в желтом круге - предупреждение;

О буква.«/» в голубом круге - информационное сообщение;

О серый висячий замок - неудачная попытка авторизации. Это сообщение представляет особый интерес в плане безопасности;

О золотой ключ - успешная попытка авторизации. Тоже важно в плане безопасности.

0 ... 52 53 54 55 56 57 58 ... 125