- •Оглавление
- •Введение
- •Системные журналы
- •Права доступа к системным журналам
- •Регистрируемая информация
- •Журнал событий
- •Журнал НСД
- •Системный журнал
- •Журнал аудита
- •Журнал конфликтов обратной синхронизации
- •Классификация событий
- •Категории событий
- •Источники событий
- •Программа просмотра журналов
- •Запуск программы
- •Запуск из программы Администратор
- •Запуск из программы мониторинга
- •Запуск из командной строки
- •Интерфейс программы
- •Управление дополнительным окном
- •Настройка отображения панели инструментов и строки сообщений
- •Настройка отображения записей
- •Выборка записей
- •Настройка параметров выборки
- •Настройка основных параметров
- •Настройка дополнительных параметров
- •Повторная выборка записей журнала
- •Обновление выборки
- •Выборка с другими параметрами
- •Вызов нового окна для выборки записей
- •Выбор журнала для просмотра записей
- •Использование шаблонов настройки
- •Сохранение шаблона
- •Настройка параметров по шаблону
- •Принудительная остановка процесса выборки
- •Работа с записями
- •Управление колонками таблицы записей
- •Оперативное управление
- •Настройка параметров просмотра
- •Сортировка записей
- •Оперативная сортировка
- •Настройка параметров сортировки
- •Поиск записей в выборке
- •Оперативный поиск
- •Настройка параметров поиска
- •Повтор поиска
- •Печать записей
- •Сохранение записей в файл
- •Удаление записей
- •Семантическое сжатие Журнала событий
- •Принципы действия и основные понятия семантического сжатия
- •Программа редактирования правил сжатия
- •Запуск программы
- •Интерфейс программы
- •Список правил
- •Список прототипов
- •Основные принципы работы с правилами сжатия
- •Создание правила сжатия
- •Создание правила с автоматическим добавлением прототипов
- •Создание правила, не содержащего прототипы
- •Редактирование списка прототипов правила
- •Добавление прототипа
- •Настройка параметров прототипа
- •Удаление прототипа
- •Объединение нескольких прототипов в один
- •Подготовка правила к использованию
- •Настройка параметров правила
- •Активирование правила
- •Удаление правила
- •Сохранение сделанных изменений
- •Обновление списка правил
- •Запуск процесса семантического сжатия
- •Настройка параметров расписания запуска
- •Немедленный запуск
- •Обработка конфликтов обратной синхронизации
- •Автоматическое устранение конфликтов
- •Программа обработки конфликтов
- •Запуск программы
- •Интерфейс программы
- •Сведения о конфликтах
- •Устранение конфликтов
- •Обновление списка конфликтов
- •Приложение
- •Поля записей журналов
- •Категории регистрируемых событий
- •Источники событий
- •Объекты для контекстной выборки записей
- •Элементы интерфейса и приемы работы
- •Перемещение границы между внутренними окнами
- •Диалог "Календарь"
- •Диалог "Расписание"
- •Предметный указатель
Н И П И Н Ф О Р М З А Щ И Т А
Система
защиты
информации
Secret Net
Подсистема управления
Руководство по администрированию
Книга третья. Системные журналы
УВАЛ 00300-07 93-3
© НИП “ИНФОРМЗАЩИТА”, 2002. Все права защищены.
Все авторские права на эксплуатационную документацию защищены.
Этот документ входит в комплект поставки программного обеспечения, и на него распространяются все условия лицензионного соглашения. Без специального письменного разрешения НИП “ИНФОРМЗАЩИТА” этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.
Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”.
Научно-инженерное предприятие "ИНФОРМЗАЩИТА"
Почтовый адрес: 127018, Москва, а/я 55
Телефон: (7-095) 937-33-85 Факс: (7-095) 219-31-88 e-mail: hotline@infosec.ru
Web: http: // www.infosec.ru
Версия: 4.0 Build: 31 |
Последнее обновление 05.03.02 |
Оглавление |
|
Оглавление |
|
Введение.......................................................................................................................................... |
5 |
Глава 1. Системные журналы...................................................................................................... |
9 |
Права доступа к системным журналам......................................................................... |
10 |
Регистрируемая информация........................................................................................ |
10 |
Журнал событий................................................................................................................... |
10 |
Журнал НСД.......................................................................................................................... |
11 |
Системный журнал............................................................................................................... |
11 |
Журнал аудита...................................................................................................................... |
11 |
Журнал конфликтов обратной синхронизации................................................................... |
11 |
Классификация событий................................................................................................ |
12 |
Категории событий ............................................................................................................... |
12 |
Источники событий............................................................................................................... |
12 |
Глава 2. Программа просмотра журналов .............................................................................. |
13 |
Запуск программы........................................................................................................... |
14 |
Запуск из программы Администратор................................................................................. |
14 |
Запуск из программы мониторинга...................................................................................... |
15 |
Запуск из командной строки................................................................................................. |
16 |
Интерфейс программы................................................................................................... |
16 |
Управление дополнительным окном................................................................................... |
17 |
Настройка отображения панели инструментов и строки сообщений............................... |
19 |
Настройка отображения записей......................................................................................... |
19 |
Глава 3. Выборка записей.......................................................................................................... |
21 |
Настройка параметров выборки.................................................................................... |
22 |
Настройка основных параметров........................................................................................ |
22 |
Настройка дополнительных параметров............................................................................ |
25 |
Повторная выборка записей журнала........................................................................... |
28 |
Обновление выборки............................................................................................................ |
28 |
Выборка с другими параметрами........................................................................................ |
28 |
Вызов нового окна для выборки записей............................................................................ |
29 |
Выбор журнала для просмотра записей....................................................................... |
29 |
Использование шаблонов настройки............................................................................ |
30 |
Сохранение шаблона........................................................................................................... |
30 |
Настройка параметров по шаблону .................................................................................... |
31 |
Принудительная остановка процесса выборки............................................................ |
32 |
Глава 4. Работа с записями........................................................................................................ |
33 |
Управление колонками таблицы записей..................................................................... |
34 |
Оперативное управление..................................................................................................... |
34 |
Настройка параметров просмотра...................................................................................... |
34 |
Сортировка записей........................................................................................................ |
36 |
Оперативная сортировка ..................................................................................................... |
36 |
Настройка параметров сортировки..................................................................................... |
36 |
Поиск записей в выборке............................................................................................... |
37 |
Оперативный поиск.............................................................................................................. |
38 |
Настройка параметров поиска............................................................................................. |
38 |
Повтор поиска....................................................................................................................... |
40 |
3
Оглавление |
|
Печать записей ............................................................................................................... |
40 |
Сохранение записей в файл.......................................................................................... |
40 |
Удаление записей........................................................................................................... |
40 |
Глава 5. Семантическое сжатие Журнала событий............................................................... |
43 |
Принципы действия и основные понятия семантического сжатия ............................ |
44 |
Программа редактирования правил сжатия................................................................. |
44 |
Запуск программы ................................................................................................................ |
44 |
Интерфейс программы......................................................................................................... |
45 |
Список правил....................................................................................................................... |
46 |
Список прототипов ............................................................................................................... |
46 |
Основные принципы работы с правилами сжатия ...................................................... |
47 |
Создание правила сжатия.............................................................................................. |
48 |
Создание правила с автоматическим добавлением прототипов...................................... |
48 |
Создание правила, не содержащего прототипы................................................................ |
49 |
Редактирование списка прототипов правила............................................................... |
50 |
Добавление прототипа......................................................................................................... |
50 |
Настройка параметров прототипа....................................................................................... |
50 |
Удаление прототипа............................................................................................................. |
53 |
Объединение нескольких прототипов в один..................................................................... |
53 |
Подготовка правила к использованию.......................................................................... |
53 |
Настройка параметров правила.......................................................................................... |
54 |
Активирование правила....................................................................................................... |
54 |
Удаление правила .......................................................................................................... |
55 |
Сохранение сделанных изменений............................................................................... |
55 |
Обновление списка правил............................................................................................ |
55 |
Запуск процесса семантического сжатия ..................................................................... |
55 |
Настройка параметров расписания запуска....................................................................... |
55 |
Немедленный запуск............................................................................................................ |
56 |
Глава 6. Обработка конфликтов обратной синхронизации................................................. |
57 |
Автоматическое устранение конфликтов..................................................................... |
58 |
Программа обработки конфликтов................................................................................ |
58 |
Запуск программы ................................................................................................................ |
58 |
Интерфейс программы......................................................................................................... |
59 |
Сведения о конфликтах ....................................................................................................... |
60 |
Устранение конфликтов....................................................................................................... |
61 |
Обновление списка конфликтов.......................................................................................... |
61 |
Приложение................................................................................................................................... |
63 |
Поля записей журналов ................................................................................................. |
64 |
Категории регистрируемых событий............................................................................. |
66 |
Источники событий......................................................................................................... |
68 |
Объекты для контекстной выборки записей................................................................. |
69 |
Элементы интерфейса и приемы работы .................................................................... |
70 |
Перемещение границы между внутренними окнами......................................................... |
70 |
Диалог "Календарь".............................................................................................................. |
70 |
Диалог "Расписание" ............................................................................................................ |
71 |
Предметный указатель................................................................................................... |
73 |
4
Введение
Из этого раздела Вы узнаете:
•О назначении руководства
•О других источниках информации
•О структуре руководства и порядке его изучения
5
Стиль
изложения
Структура
руководства
Система Secret Net. Руководство по администрированию. Книга третья
Данное руководство предназначено для администратора безопасности системы Secret Net, а также для сотрудников, в обязанности которых входит аудит системы защиты. Руководство содержит сведения, необходимые для работы с журналами регистрации событий (далее – системные журналы), хранящимися в центральной базе данных (ЦБД) системы защиты.
Перед изучением этой части документации рекомендуем ознакомиться с двумя другими книгами, входящими в комплект поставки1:
•“Secret Net. Подсистема управления. Руководство по администрированию. Книга первая. Управление центральной базой данных” – в документе изло-
жены сведения о централизованном управлении системой защиты Secret Net.
•“Secret Net. Подсистема управления. Руководство по администрированию. Книга вторая. Мониторинг системы защиты” – документ содержит сведения о том, как контролировать состояние системы и оперативно управлять защищаемыми компьютерами в режиме реального времени.
В данном руководстве основное внимание сосредоточено на порядке выполнения тех или иных действий. Для того чтобы не нарушить целостного представления о выполняемых процедурах, вся частная информация помещена в Приложении к руководству.
Материал руководства организован следующим образом:
•В Главе 1 приведены сведения о том, как распределить права доступа сотрудников к системным журналам, для чего предназначены журналы и как классифицируются регистрируемые события.
•Глава 2 содержит основные сведения о программе просмотра журналов. Эта программа предназначена для работы с записями Журнала событий, Журнала НСД, Системного журнала и Журнала аудита. В главе рассматриваются способы запуска этой программы и соответствующие им правила начального отбора записей (см. стр. 14), а также содержатся сведения об интерфейсе программы и возможностях его настройки (см. стр. 16).
•Глава 3 описывает возможности отбора записей для просмотра. Используя дополнительные параметры выборки, можно загружать для просмотра только те записи журналов, которые необходимы для работы (см. стр. 22). Например, в выборку могут быть включены записи о событиях, имеющих определенный источник возникновения, или записи, содержащие информацию о функционировании конкретного процесса (программы) на заданных компьютерах. Типовые значения параметров выборки могут сохраняться в специальных шаблонах (см. стр. 30) и использоваться в дальнейшем (в том числе и на других рабочих местах администраторов).
•В Главе 4 описаны средства программы просмотра, использующиеся при работе с записями выборки. Информация о событиях представлена в виде таблицы, колонки которой соответствуют полям записей. Допускается изменять порядок отображения и состав колонок таблицы (см. стр. 34), сортировать таблицу (см. стр. 36), а также осуществлять поиск записей (см. стр. 37). Имеется возможность сохранять записи выборки в файл (см. стр. 40). Кроме того, программа позволяет выполнить немедленную очистку системных журналов от записей, потерявших актуальность (см. стр. 40).
•В Главе 5 содержатся сведения о семантическом сжатии Журнала событий. Данная процедура позволяет сократить объем журнала за счет объединения определенных групп взаимосвязанных записей. Сжатие выполняется по специ-
1 Комплект поставки также включает документы, содержащие сведения об управлении клиентами системы Secret Net. Эти документы, помимо прочего, содержат сведения о работе с локальными системными журналами. Для получения полного представления о журналах системы защиты рекомендуемознакомитьсясэтойчастьюдокументации.
6
Введение
альным правилам, для работы с которыми предназначена программа редактирования правил семантического сжатия (см. стр. 44).
•Глава 6 описывает способы разрешения конфликтов обратной синхронизации. Возникающие конфликты регистрируются в Журнале конфликтов обратной синхронизации и могут быть устранены либо автоматически, либо “вручную” – с помощью программы обработки конфликтов (см. стр. 58).
•В Приложении к руководствусобрана необходимая справочная информация.
7
Система Secret Net. Руководство по администрированию. Книга третья
8