Аудит событий в локальной системе
Аудит событий в локальной системе
Аудит (audit) — это процесс, позволяющий фиксировать некритические события, происходящие в операционной системе и имеющие отношение к ее поведению, в первую очередь — к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Мониторинг таких событий (помимо "стандартных" событий, регистрирующихся в системных журналах) может быть важен для анализа изменений в состоянии системы в процессе ее эксплуатации.
При настройке аудита администратор сам выбирает, какие события должны отслеживаться. Информация о таких событиях будет заноситься в обычный журнал событий операционной системы. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Полученную в результате информацию (журнал Безопасность (Security)) можно просматривать с помощью оснастки Просмотр событий (Event Viewer).
В зависимости от поставленной задачи настройка аудита может выполняться как в один, так и в два приема:
- Сначала аудит следует активизировать с помощью оснасток Локальная политика безопасности (Local Security Settings) или Редактор объектов групповой политики (Group Policy Object Editor). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий достаточно одной этой операции активизации аудита, и их регистрация в журнале начинается немедленно.
- На втором шаге следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется в окне свойств этих объектов, где задаются разрешения на доступ (для этого редактируются так называемые списки управления доступом (Access Control List, ACL). Для разных объектов— файлов или реестра — используемый при этом пользовательский интерфейс будет различаться, но непринципиально.
Дата: 26-08-2011, 14:12
Просмотров: 1097
В избранное:
Уважаемый посетитель, для доступа к ресурсам сайта OS-7.RU, а также для скачивания материалов - Вам необходимо зарегистрироваться либо войти под своим именем.