Администрирование сети Windows NT 4.0. Учебный курс

       

Отбор событий


По умолчанию Event Viewer выводит на экран все события, зарегистрированные в журнале. Если Вас интересуют лишь некоторые из них, имеющие общие характеристики, воспользуйтесь командой Filter Events (Фильтр) меню View (Вид) для отбора событий. Когда режим фильтрования включен, в строке команды Filter Events (Фильтр) меню View (Вид) появится галочка, а в строке заголовка окна Event Viewer — примечание «Filtered» (Фильтр). Если команда Save Settings On Exit (Сохранять настройку при выходе) меню Options (Параметры) активна (в этом случае Вы увидите напротив нее галочку), то при выходе из Event Viewer функция фильтрования сохранится и будет применена к журналу при следующем запуске программы Event Viewer.

Фильтрование не оказывает влияния на содержимое журнала: оно изменяет только его визуальное представление. Все события остаются в журнале вне зависимости от того, применен к ним фильтр или нет.

В таблице описаны параметры диалогового окна Filter (Фильтр).

Параметр

Позволяет

View From/View Through (Начало/конец просмотра)

Указать диапазон дат интересующих Вас событий

Types (Типы событии)

Выбрать типы событии для просмотра

Source (Источник)

Указать программу или драйвер компонента, породившие это событие

Category (Категория)

Указать классификацию события, определяемую источником; например, для журнала безопасности это может быть категория Logon/Logoff

User (Пользователь)

Указать учетную запись пользователя для просмотра вызванных им событий

Computer (Компьютер)

Указать имя компьютера для просмотра вызванных им событий

Event ID (Код события)

Указать код сообщения. Он поможет представителям службы поддержки продукта отыскать нужные события

> Отбор событий категории Logon/Logoff

  1. В меню Log (Журнал) программы Event Viewer выберите пункт Open (Открыть). Появится диалоговое окно Open (Открытие файла).
  2. В папке LabFiles дважды щелкните файл Security.evt.

Появится диалоговое окно Open File Type (Открытие журнала). По умолчанию выбран тип System (Системный журнал).


  • В группе Open File of Type (Тип журнала) щелкните переключатель Security (Журнал безопасности), а затем — кнопку ОК.

    В окне появится журнал безопасности из файла Security.evt.

  • В меню View (Вид) выберите пункт Filter Events (Фильтр). Появится диалоговое окно Filter (Фильтр).


  • В списке Source (Источник) выберите пункт Security.


  • В списке Category (Категория) выберите пункт Logon/Logoff (Вход/выход) и щелкните кнопку ОК.

    Обратите внимание, что рядом с каждым событием нарисован замок, свидетельствующий, что событие закончилось неудачей.

  • Чтобы посмотреть описание события, дважды щелкните его.

    В области Description (Описание) указаны причина неудачного окончания события и имя пользователя, который выполнял это действие (возможно, пытаясь нарушить защиту).

    > Отбор событий несанкционированного доступа к папкам и файлам


    1. В меню View (Вид) выберите пункт Filter Events (Фильтр). Появится диалоговое окно Filter (Фильтр).


    2. В списке Source (Источник) выберите пункт Security (Безопасность).


    3. В списке Category (Категория) щелкните строку Object Access (Доступ к объектам).


    4. В области Types (Типы событий) оставьте установленным только флажок Failure Audit (Аудит отказов), а все остальные — сбросьте.


    5. Щелкните кнопку ОК.


    6. Дважды щелкните каждое событие, чтобы посмотреть его описание. Какой файл вызвал неудачное событие?


    ответ

    Какое действие пытались совершить над этим файлом? Прокрутите информацию в поле Description (Описание) и обратите внимание на строку Accesses (Доступ).

    ответ


    Содержание раздела