Администрирование сети Windows NT 4.0. Учебный курс
       

Архивирование журнала безопасности


Архивы содержат информацию более давнюю, нежели текущий журнал. Ее анализ позволяет выявить тенденции в развитии системы, а оценка тенденций — выяснить интенсивность использования ресурсов и спланировать развитие системы. Если Ваша проблема — несанкционированный доступ к ресурсам, изучение тенденций поможет Вам улучшить схему защиты.

При выборе событий для аудита следует учитывать возможность переполнения журнала. Однако этого можно избежать с помощью диалогового окна Event Log Settings (Настройка журнала событий). Оно позволяет управлять:

  • размером архивируемых журналов:

  • размер по умолчанию — 512 кб, однако журналы могут быть размером от 64 до 4 194 240 кб;

  • методом замещения устаревших записей журнала:

  • Overwrite Events as Needed (Замещать записи по мере необходимости);

  • Overwrite Events Older than x days (Замещать записи по истечении х дней) — в этом случае нужно указать число дней;

  • Do Not Overwrite Events (Clear Log Manually) [Записи не замещаются (очистка журнала проводится вручную)] — если Вы выбрали этот режим, Вам понадобится сохранить текущую версию журнала в архиве перед его очисткой.

    • > Управление размером журнала и методом регистрации событии

    1. В меню Log (Журнал) выберите пункт Log Settings (Настройка журнала). Появится диалоговое окно Event Log Settings (Настройка журнала событий).

    2. Щелкните переключатель Overwrite Events as Needed (По мере необходимости). Самые старые события будут замещаться вновь поступающими. Имейте в виду, что некоторые события регулярно повторяются через небольшие интервалы времени, поэтому использование этого параметра может привести к потере важной информации.

    3. Щелкните кнопку ОК.

      4. > Архивирование журнала безопасности

      1. Убедитесь, что в меню Log (Журнал) активна команда Security (Безопасность) — то есть около нее стоит галочка, — и щелкните пункт Save As (Сохранить как).

      2. Сохраните журнал в папке LabFiles под каким-нибудь информативным именем.

        3. Совет Архивируя журналы безопасности, используйте в имени архивного файла дату. Это позволит быстрее найти нужный файл.


        > Очистка журнала безопасности


        1. В меню Log (Журнал) выберите пункт Clear All Events (Очистить все события).


        Появится сообщение с вопросом, не хотите ли Вы сохранить журнал перед его закрытием.

      3. Щелкните кнопку No (Нет).

        Появится другое сообщение, предупреждающее, что данная операция необратима, и запрашивающее подтверждение необходимости ее выполнение.

      4. Щелкните кнопку Yes (Да).

        Обратите внимание на то, что в журнале безопасности появилось системное сообщение.

      5. Дважды щелкните событие, чтобы прочесть его описание. Описание гласит, что журнал аудита был очищен.


      6. Щелкните кнопку Close (Закрыть).


        7. > Просмотр архивированного журнала защиты

      7. В меню Log (Журнал) выберите команду Open (Открыть).


      8. В диалоговом окне Open (Открытие файла) найдите и дважды щелкните заархивированный журнал.

        Появится диалоговое окно Open File Type (Открытие журнала).

      9. В группе Open File of Type (Тип файла) щелкните переключатель Security (Журнал безопасности), а затем — кнопку ОК.


      10. Закройте программу Event Viewer и выйдите из системы.



        11. Содержание раздела