Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
108
Добавлен:
02.05.2014
Размер:
2.3 Mб
Скачать

Н И П И Н Ф О Р М З А Щ И Т А

Система

защиты

информации

Secret Net

Подсистема управления

Руководство по администрированию

Книга третья. Системные журналы

УВАЛ 00300-07 93-3

© НИП “ИНФОРМЗАЩИТА”, 2002. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки программного обеспечения, и на него распространяются все условия лицензионного соглашения. Без специального письменного разрешения НИП “ИНФОРМЗАЩИТА” этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”.

Научно-инженерное предприятие "ИНФОРМЗАЩИТА"

Почтовый адрес: 127018, Москва, а/я 55

Телефон: (7-095) 937-33-85 Факс: (7-095) 219-31-88 e-mail: hotline@infosec.ru

Web: http: // www.infosec.ru

Версия: 4.0 Build: 31

Последнее обновление 05.03.02

Оглавление

 

Оглавление

 

Введение..........................................................................................................................................

5

Глава 1. Системные журналы......................................................................................................

9

Права доступа к системным журналам.........................................................................

10

Регистрируемая информация........................................................................................

10

Журнал событий...................................................................................................................

10

Журнал НСД..........................................................................................................................

11

Системный журнал...............................................................................................................

11

Журнал аудита......................................................................................................................

11

Журнал конфликтов обратной синхронизации...................................................................

11

Классификация событий................................................................................................

12

Категории событий ...............................................................................................................

12

Источники событий...............................................................................................................

12

Глава 2. Программа просмотра журналов ..............................................................................

13

Запуск программы...........................................................................................................

14

Запуск из программы Администратор.................................................................................

14

Запуск из программы мониторинга......................................................................................

15

Запуск из командной строки.................................................................................................

16

Интерфейс программы...................................................................................................

16

Управление дополнительным окном...................................................................................

17

Настройка отображения панели инструментов и строки сообщений...............................

19

Настройка отображения записей.........................................................................................

19

Глава 3. Выборка записей..........................................................................................................

21

Настройка параметров выборки....................................................................................

22

Настройка основных параметров........................................................................................

22

Настройка дополнительных параметров............................................................................

25

Повторная выборка записей журнала...........................................................................

28

Обновление выборки............................................................................................................

28

Выборка с другими параметрами........................................................................................

28

Вызов нового окна для выборки записей............................................................................

29

Выбор журнала для просмотра записей.......................................................................

29

Использование шаблонов настройки............................................................................

30

Сохранение шаблона...........................................................................................................

30

Настройка параметров по шаблону ....................................................................................

31

Принудительная остановка процесса выборки............................................................

32

Глава 4. Работа с записями........................................................................................................

33

Управление колонками таблицы записей.....................................................................

34

Оперативное управление.....................................................................................................

34

Настройка параметров просмотра......................................................................................

34

Сортировка записей........................................................................................................

36

Оперативная сортировка .....................................................................................................

36

Настройка параметров сортировки.....................................................................................

36

Поиск записей в выборке...............................................................................................

37

Оперативный поиск..............................................................................................................

38

Настройка параметров поиска.............................................................................................

38

Повтор поиска.......................................................................................................................

40

3

Оглавление

 

Печать записей ...............................................................................................................

40

Сохранение записей в файл..........................................................................................

40

Удаление записей...........................................................................................................

40

Глава 5. Семантическое сжатие Журнала событий...............................................................

43

Принципы действия и основные понятия семантического сжатия ............................

44

Программа редактирования правил сжатия.................................................................

44

Запуск программы ................................................................................................................

44

Интерфейс программы.........................................................................................................

45

Список правил.......................................................................................................................

46

Список прототипов ...............................................................................................................

46

Основные принципы работы с правилами сжатия ......................................................

47

Создание правила сжатия..............................................................................................

48

Создание правила с автоматическим добавлением прототипов......................................

48

Создание правила, не содержащего прототипы................................................................

49

Редактирование списка прототипов правила...............................................................

50

Добавление прототипа.........................................................................................................

50

Настройка параметров прототипа.......................................................................................

50

Удаление прототипа.............................................................................................................

53

Объединение нескольких прототипов в один.....................................................................

53

Подготовка правила к использованию..........................................................................

53

Настройка параметров правила..........................................................................................

54

Активирование правила.......................................................................................................

54

Удаление правила ..........................................................................................................

55

Сохранение сделанных изменений...............................................................................

55

Обновление списка правил............................................................................................

55

Запуск процесса семантического сжатия .....................................................................

55

Настройка параметров расписания запуска.......................................................................

55

Немедленный запуск............................................................................................................

56

Глава 6. Обработка конфликтов обратной синхронизации.................................................

57

Автоматическое устранение конфликтов.....................................................................

58

Программа обработки конфликтов................................................................................

58

Запуск программы ................................................................................................................

58

Интерфейс программы.........................................................................................................

59

Сведения о конфликтах .......................................................................................................

60

Устранение конфликтов.......................................................................................................

61

Обновление списка конфликтов..........................................................................................

61

Приложение...................................................................................................................................

63

Поля записей журналов .................................................................................................

64

Категории регистрируемых событий.............................................................................

66

Источники событий.........................................................................................................

68

Объекты для контекстной выборки записей.................................................................

69

Элементы интерфейса и приемы работы ....................................................................

70

Перемещение границы между внутренними окнами.........................................................

70

Диалог "Календарь"..............................................................................................................

70

Диалог "Расписание" ............................................................................................................

71

Предметный указатель...................................................................................................

73

4

Введение

Из этого раздела Вы узнаете:

О назначении руководства

О других источниках информации

О структуре руководства и порядке его изучения

5

Стиль

изложения

Структура

руководства

Система Secret Net. Руководство по администрированию. Книга третья

Данное руководство предназначено для администратора безопасности системы Secret Net, а также для сотрудников, в обязанности которых входит аудит системы защиты. Руководство содержит сведения, необходимые для работы с журналами регистрации событий (далее – системные журналы), хранящимися в центральной базе данных (ЦБД) системы защиты.

Перед изучением этой части документации рекомендуем ознакомиться с двумя другими книгами, входящими в комплект поставки1:

“Secret Net. Подсистема управления. Руководство по администрированию. Книга первая. Управление центральной базой данных” – в документе изло-

жены сведения о централизованном управлении системой защиты Secret Net.

“Secret Net. Подсистема управления. Руководство по администрированию. Книга вторая. Мониторинг системы защиты” – документ содержит сведения о том, как контролировать состояние системы и оперативно управлять защищаемыми компьютерами в режиме реального времени.

В данном руководстве основное внимание сосредоточено на порядке выполнения тех или иных действий. Для того чтобы не нарушить целостного представления о выполняемых процедурах, вся частная информация помещена в Приложении к руководству.

Материал руководства организован следующим образом:

В Главе 1 приведены сведения о том, как распределить права доступа сотрудников к системным журналам, для чего предназначены журналы и как классифицируются регистрируемые события.

Глава 2 содержит основные сведения о программе просмотра журналов. Эта программа предназначена для работы с записями Журнала событий, Журнала НСД, Системного журнала и Журнала аудита. В главе рассматриваются способы запуска этой программы и соответствующие им правила начального отбора записей (см. стр. 14), а также содержатся сведения об интерфейсе программы и возможностях его настройки (см. стр. 16).

Глава 3 описывает возможности отбора записей для просмотра. Используя дополнительные параметры выборки, можно загружать для просмотра только те записи журналов, которые необходимы для работы (см. стр. 22). Например, в выборку могут быть включены записи о событиях, имеющих определенный источник возникновения, или записи, содержащие информацию о функционировании конкретного процесса (программы) на заданных компьютерах. Типовые значения параметров выборки могут сохраняться в специальных шаблонах (см. стр. 30) и использоваться в дальнейшем (в том числе и на других рабочих местах администраторов).

В Главе 4 описаны средства программы просмотра, использующиеся при работе с записями выборки. Информация о событиях представлена в виде таблицы, колонки которой соответствуют полям записей. Допускается изменять порядок отображения и состав колонок таблицы (см. стр. 34), сортировать таблицу (см. стр. 36), а также осуществлять поиск записей (см. стр. 37). Имеется возможность сохранять записи выборки в файл (см. стр. 40). Кроме того, программа позволяет выполнить немедленную очистку системных журналов от записей, потерявших актуальность (см. стр. 40).

В Главе 5 содержатся сведения о семантическом сжатии Журнала событий. Данная процедура позволяет сократить объем журнала за счет объединения определенных групп взаимосвязанных записей. Сжатие выполняется по специ-

1 Комплект поставки также включает документы, содержащие сведения об управлении клиентами системы Secret Net. Эти документы, помимо прочего, содержат сведения о работе с локальными системными журналами. Для получения полного представления о журналах системы защиты рекомендуемознакомитьсясэтойчастьюдокументации.

6

Введение

альным правилам, для работы с которыми предназначена программа редактирования правил семантического сжатия (см. стр. 44).

Глава 6 описывает способы разрешения конфликтов обратной синхронизации. Возникающие конфликты регистрируются в Журнале конфликтов обратной синхронизации и могут быть устранены либо автоматически, либо “вручную” – с помощью программы обработки конфликтов (см. стр. 58).

В Приложении к руководствусобрана необходимая справочная информация.

7

Система Secret Net. Руководство по администрированию. Книга третья

8