Определение того, что регистрируется в журнале
Прежде всего
вам нужно сделать так, чтобы информация попадала в журнал безопасности.
Со временем компания Microsoft позволила указывать то, куда записываются
определенные моменты, но так было не всегда. Поскольку многие из тех,
кто читает эту статью, все еще используют Windows 2000, XP и 2003, очень
важно знать, где можно настроить аудит журнала безопасности.
Вся
информация, записываемая в журнал безопасности, управляется аудитом.
Служба аудита настраивается и управляется групповой политикой. Вы можете
управлять групповой политикой локально (gpedit.msc) или через Active
Directory, используя консоль управления групповой политикой (GPMC). Я
настоятельно рекомендую использовать GPMC и управлять аудитом с помощью
Active Directory. Это гораздо более эффективно и составляет одну десятую
часть той работы, которую придется выполнять при управлении локально.
В
групповой политике необходимо изменить объект групповой политики, а
затем развернуть GPO следующим образом: Конфигурация компьютера
(Computer Configuration)\Параметры Windows (Windows Settings)\Настройки
безопасности (Security Settings)\Локальные политики (Local
Policies)\Политика аудита (Audit Policy), рисунок 1.
Рисунок 1: Параметры политики аудита в объекте групповой политики
Независимо
от того, используете ли вы локальную групповую политику или GPO из
Active Directory, эти параметры будут одинаковы. Дело только в том, что
проще разворачивать параметры на несколько компьютеров с помощью Active
Directory.
Как вы видите, здесь есть девять различных опций
политики аудита. Для более четкого понимания того, что делает каждый
параметр, обязательно прочтите эту статью.
Централизация журнала безопасности
Теперь,
когда все ваши компьютеры в сети записывают основные моменты аудита
безопасности в журнал, необходимо их просматривать. Давайте рассмотрим
параметры по умолчанию, коими является наличие у каждого компьютера
собственной копии журнала безопасности. Это означает, что если у вас
есть 1000 серверов и 10000 рабочих станций, в общем у вас получится
11000 журналов безопасности, которые необходимо просматривать! До
недавних пор не было способа централизации этих журналов для
эффективного анализа.
Однако с выходом Windows Server 2008, Vista и
7 компания Microsoft создала способ централизации журналов, включая
журналы безопасности со всех 11000 (или сколько бы у вас не было)
компьютеров. Решением стало использование подписок и пересылки журналов
событий.
У вас должен быть хотя бы один Windows Server 2008, Vista
или 7 компьютер. Он станет центральным компьютером ведения журналов.
Все другие компьютеры под управлением Windows XP, 2003, Vista, 2008 и 7
могут отправлять свои события на этот центральный компьютер. (Простите,
но Windows 2000 не поддерживается!)
Для дополнительной информации о том, как настраивать централизованное ведение журналов, читайте эту статью.
Пользовательский вид
Теперь,
когда у вас есть централизованный журнал, вы можете настроить то, как
нужно отображать в нем информацию. Допустим, у вас в журнале есть тысячи
событий с сотнями ИД этих событий. Вам бы не хотелось пытаться
разобраться и просмотреть все эти события, чтобы найти то, что вам
нужно. А вам и не нужно этого делать!
Теперь при наличии
центрального журнала на Windows Server 2008, Vista или 7 компьютере вы
можете использовать пользовательский вид. Пользовательские виды
позволяют вам создавать «специальный журнал» из обычных журналов и ИД
событий, которые вы хотите отображать. Итак, теперь вы можете создавать
нужное вам количество пользовательских видов из существующих журналов,
включая присланные журналы.
Допустим, вам нужно, чтобы в журнале
отображались только входы на все серверы. Вы можете создать
пользовательский вид события Event ID 4624 (для Windows 2008, Vista и 7)
и 528 (для Windows 2000, XP, 2003), чтобы просматривать все успешные
входы в систему. На рисунке 2 показано, как такой пользовательский вид
должен выглядеть.
Рисунок 2: Пользовательский вид событий 4624 и 528
Задачи для событий
Вы
можете не только настраивать специальные пользовательские виды ваших
журналов, вы также можете создавать триггеры при регистрации
определённых событий. Эта опция, которую называют прикреплением задачи к
событию или журналу, доступна в Windows Server 2008, Vista и 7.
Задача
не представляет собой ничего, кроме запланированной задачи, но важно
знать, что эта функция доступна. Вы можете настраивать эти задачи в
программе просмотра событий или с помощью планировщика задач. Задачи
могут быть на высоком уровне или на основном уровне, или можно получить
многогранность настройки с помощью параметров, которые вы выбираете для
задачи.
Для простых задач вам лишь нужно создать следующее:
- Event ID
- Действие, выполняемое при регистрации этого события
Эти опции показаны на рисунке 3.
Увеличить
Рисунок 3: Простая задача для программы просмотра событий
Для
более многогранной задачи для события у вас есть настройки. Вы можете
настраивать специфические параметры, связанные с событием, время дня,
пороговые значения и т.д. На рисунке 4 показан пример одной из закладок
настройки этих параметров задачи.
Увеличить
Рисунок 4: Детализированная задача для события
Для
действий с простыми и подробными задачами у вас есть несколько опций.
Вы можете настраивать отправку сообщения электронной почты при
генерировании определенной задачи. Вы также можете настраивать действие,
при котором программа будет запускаться, если определенное событие было
зарегистрировано. Это может быть сценарий, встроенная программа или
практически что угодно, что система должна выполнить при обнаружении
определенного события. Вы также можете просто отображать сообщение,
которое проинформирует администратора о возникшем событии и позволит ему
принять соответствующие меры.
Заключение
Как вы видите,
новые опции контроля событий и в частности событий журнала безопасности
довольно мощные. То, что когда-то было доступно через приложения
сторонних производителей, стало доступно при наличии всего одного нового
компьютера под управлением Windows 2008, Vista или 7. Да, вам все еще
нужно устанавливать программы на более старые компьютеры, чтобы они
смогли пересылать события, но это небольшая задача по сравнению с теми
преимуществами, которые вы получаете при централизации журнала
регистрации событий. Возможность создавать пользовательские виды и
связывать с событиями задачи делает новый инструмент просмотра событий
весьма полезными и стоящим перехода на новые версии.