Система Secret Net. Руководство по администрированию. Книга третья
Настройка параметров выборки
Настройка параметров выборки выполняется в специальном окне настройки перед отбором записей журнала. Вызов окна настройки может осуществляться:
•при запуске программы просмотра журналов – например, при стандартном запуске из программы Администратор (см. стр. 14);
•при выполнении следующей выборки записей в программе просмотра (см. стр. 28 и стр. 29).
Настройка основных параметров
К основным параметрам выборки относятся:
•характеристики событий (источники, категории и имена событий);
•интервал времени, когда регистрировались события;
•режим восстановления архивных записей.
Поля выбора характеристик событий
Группа полей для настройки интервала времени
Поле включения режима восстановления архивов
Рис. 6 Основные параметры выборки (Журнал аудита)
Настройка основных параметров выборки осуществляется в диалоге “Событие”. Процедуры настройки одинаковы для всех системных журналов.
Выбор характеристик событий
Характеристики событий, включаемых в выборку, определяются параметрами “Источник”, “Категория” и “Событие”. Эти параметры соответствуют одноименным полям записей журнала. В выборку будут включены записи, содержащие выбранные значения в соответствующих полях.
Могут устанавливаться следующие значения:
•определенный элемент списка – для отбора записей, содержащих то же значение в поле. Например, включить в выборку записи о событиях источника
“SNSS Audit”(см. Рис. 6);
•“(Все)”– для отбора записей, содержащих в поле любое из значений, которые доступны в открывающемся списке. Например, включить в выборку записи со всеми категориями событий;
22
Глава 3. Выборка записей
•“(Множество элементов)”– соответствует нескольким выбранным значениям. Например, включить в выборку записи некоторого набора событий.
Установленное значение параметра “Источник” определяет доступные для выбора значения параметров “Категория” и “Событие”. Т. е. допускается выбирать только те категории и имена событий, которые соответствуют источникам событий.
Для установки множества значений параметра:
1.Выберите в открывающемся списке пункт “(Множество элементов)”.
2.Нажмите кнопку “…”, расположенную справа от списка. На экране появится диалог, отображающий все значения, которые могут содержаться в соответствующем поле. Например, для выбора имен событий этот диалог имеет вид:
Используйте эти кнопки, если требуется установить или удалить отметки для всех значений параметра
Рис. 7 Диалог выбора множества значений параметра
3.Отметьте нужные значения параметра.
4.Нажмите кнопку “OK”.
Установка интервала времени
В поле “Интервал:” определите критерий отбора записей в зависимости от времени регистрации соответствующих им событий, выбрав из открывающегося списка значение:
За текущие сутки |
для просмотра записей, добавленныхв журнал с начала теку- |
|
щихсуток |
За текущую неделю |
для просмотра записей, добавленныхв журнал с первого дня |
|
текущей недели (понедельника) |
За текущий месяц |
для просмотра записей, добавленныхв журнал с первого числа |
|
текущего месяца (см. Рис. 6) |
Настройка пользователя |
для настройки интервала времени “вручную”. В этом случае ус- |
|
тановите границы интервала самостоятельно (см. ниже) |
Чтобы настроить параметры интервала времени “вручную”, выполните следующие действия:
•в полях, соответствующих кнопке “Время с” укажите дату и время начала интервала;
Для изменения значений полей используйте клавиатуру или кнопки, находящиеся в правой части поля. При нажатии кнопки в правой части поля ввода даты укажите нужную дату в появившемся на экране диалоге “Календарь” (описание этого диалога представлено в Приложении к руководству - см. стр. 70).
23
Система Secret Net. Руководство по администрированию. Книга третья
•в полях, соответствующих кнопке “Время по” укажите дату и время окончания интервала.
Для выборки записей из журнала без учета времени их регистрации переведите кнопки “Время с” и “Время по” в ненажатое состояние.
Режим восстановления архивных записей
Архивирование записей журналов осуществляется автоматически в соответствии с заданным расписанием. Записи, помещаемые в архив, удаляются из журнала. Однако программа просмотра позволяет восстановить записи архивов и осуществить выборку этих записей. Для этого установите нужный интервал времени и отметьте поле “Загружать архивы журнала”. (Если восстанавливать записи архивов не требуется, удалите отметку из поля.)
После запуска процесса выборки программа определяет необходимость восстановления архивированных записей. Если в течение установленного интервала времени происходило архивирование журнала, на экране появится следующий запрос:
Для восстановления записей нажмите кнопку “Да”. На экране появится следующий диалог:
Рис. 8 Диалог “Загрузка архивов”
Диалог содержит сведения об обрабатываемых архивах и о ходе процесса восстановления записей. По окончании процесса диалог автоматически закроется, и программа осуществит выборку всех удовлетворяющих запросу записей (в том числе и восстановленных из архивов).
24
Глава 3. Выборка записей
После восстановления архивированные записи некоторое время содержатся в ЦБД и отличаются от остальных записей тем, что в поле “Архив” содержат идентификатор архива (только записи Журнала событий). При выполнении следующей выборки эти записи могут быть загружены в программу просмотра, так же как и другие неархивированные записи журнала. В этом случае запрос на восстановление архивов не появляется на экране.
Восстановленные записи архивов не подвергаются семантическому сжатию или архивированию. Удаление этих записей из ЦБД происходит автоматически при следующем запуске процесса очистки журнала.
Настройка дополнительных параметров
Дополнительные параметры выборки предназначены для уточнения запроса на отбор записей. Настройка дополнительных параметров осуществляется:
•для Журнала событий и Журнала НСД – в диалогах “Ресурс”, “Источник события” и “Объект”;
•для Журнала аудита – в диалогах “Ресурс” и “Объект”.
Диалог “Ресурс”
В диалоге “Ресурс” определяются параметры, соответствующие следующим полям в записях журнала:
•“Компьютер”;
•“Сотрудник”;
•“Пользователь”.
Параметры выборки, определяющие условия на содержимое поля "Компьютер" записей журнала
Параметры выборки, определяющие условия на содержимое полей "Сотрудник" и "Пользователь" записей журнала
Рис. 9 Окно настройки параметров выборки. Диалог “Ресурс”
Установка значений параметров осуществляется аналогично, как при выборе характеристик событий (см. стр. 22).
Табл. 1. Назначение параметров выборки в диалоге “Ресурс”
Параметр |
Назначение |
Помещение |
Содержит иерархический перечень помещений предприятия. Использу- |
|
ется для отбора записей, относящихся к компьютерам выбранного |
25
Система Secret Net. Руководство по администрированию. Книга третья
Параметр |
Назначение |
|
щения. |
Компьютер |
Содержит перечень компьютеров. Список упорядочен по пространствам |
|
имен, в которыхзарегистрированы компьютеры. Используется для отбо- |
|
ра записей, относящихся к выбранному компьютеру или к компьютерам |
|
выбранного пространства имен. |
Подразделение |
Содержит иерархический перечень подразделений предприятия. Исполь- |
|
зуется для отбора записей, относящихся к сотрудникам выбранного под- |
|
разделения. |
Статус |
Используется для отбора записей, относящихся к сотрудникам, которые |
|
на данный момент числятся в штате предприятия или уволены. |
Сотрудник |
Содержит перечень сотрудников. Используется для отбора записей, от- |
|
носящихся к выбранному сотруднику. |
Пользователь |
Содержит перечень пользователей. Список упорядочен по пространствам |
|
имен, в которыхзарегистрированы пользователи (встроенные учетные |
|
записи ОС Windows NT составляют отдельную группу “Builtin NT”). Ис- |
|
пользуется для отбора записей, относящихся к выбранным пользовате- |
|
лям или к пользователям выбранного пространства имен. |
Диалог “Источник события”
В диалоге “Источник события” определяются параметры, соответствующие следующим полям в записях журнала:
•“Компьютер-источник”;
•“Сотрудник-источник” (только для Журнала НСД);
•“Пользователь-источник”.
Параметры выборки, определяющие условия на содержимое поля "Компьютеристочник" записей журнала
Параметры выборки, определяющие условия на содержимое полей "Сотрудникисточник" и "Пользовательисточник" записей журнала
Рис. 10 Окно настройки параметров выборки. Диалог “Источник события”
Назначение параметров то же, что и для диалога “Ресурс” (см. Табл. 1).
Диалог “Объект”
Журнал событий и Для Журнала событий и Журнала НСД в диалоге “Объект” определяются парамет- |
||
Журнал НСД |
ры, соответствующие следующим полям в записях журнала: |
|
|
• |
“Процесс”; |
|
• |
“Объект”. |
26
Глава 3. Выборка записей
Рис. 11 Диалог “Объект” (Журнал событий)
Для отбора записей, содержащих имя определенного процесса или объекта, введите нужные значения параметров. Если значение не введено, при отборе не учитывается содержимое соответствующего поля в записях.
Журнал аудита Для Журнала аудита в диалоге “Объект” определяются параметры, которые позволяют осуществить отбор записей, относящихся к объектам заданного типа. Кроме того, выборка может выполняться по именам объектов, содержащимся в следующих полях записей:
•“Первое имя объекта”;
•“Второе имя объекта”.
Рис. 12 Диалог “Объект” (Журнал аудита)
Для отбора записей, относящихся к объекту определенного типа, выберите нужное значение параметра “Тип объекта”. Открывающийся список содержит перечень всех типов объектов, сведения о которых регистрируются в журнале. Если выбрано значение “(Все)”, тип объекта не учитывается при отборе записей.
Чтобы осуществить выборку записей, содержащих имя некоторого объекта, введите нужные значения других параметров в диалоге. При этом:
27