Администрирование сети Windows NT 4.0. Учебный курс
       

Просмотр журнала безопасности


В журнал безопасности записываются события, отслеживаемые при аудите. Успешно завершившиеся события отмечены изображением ключа, неудачные — изображением замка. Для каждого события указаны время и дата, когда оно произошло, а также его категория. Категория характеризует тип отслеживаемого события (то есть события, включенного в стратегию аудита).

В приведенной ниже таблице перечислены категории событий Event Viewer с указанием соответствующих им типов событий аудита.

Категория Event Viewer

Соответствующий ей тип события

Object Access (Доступ к объектам)

File and Object Access (Доступ к файлам и объектам)

System Event (Системное событие)

Restart, Shutdown and System (Перезагрузка, выключение и системные события)

Privilege Use (Использование привилегии)

Use of User Rights (Применение привилегий)

Account Management (Учетные записи)

User and Group Management (Управление пользователями и группами)

Logon/Logoff (Вход/выход)

Logon and Logoff (Вход и выход)

Detailed Tracking (Подробное отслеживание)

Process Tracking (Отслеживание процессов)

Policy Change (Изменение политики)

Security Policy Changes (Изменение политики безопасности)

> Создание записей в журнале безопасности

В этом упражнении Вы совершите несколько действий, в результате которых появятся соответствующие записи в журнале безопасности. Таким образом Вы увидите аудит в действии и, кроме того, создадите необходимый материал для следующих упражнений.

  1. Зарегистрируйтесь в системе по учетной записи User9.

  2. В. Windows NT Explorer (Проводник) раскройте папку LabFiles\Public\Library и дважды щелкните файл Bronte.txt, чтобы открыть его.

  3. Закройте файл.

  4. Выйдите из системы, а затем зарегистрируйтесь по учетной записи Administrator.

  5. Создайте какую-нибудь новую учетную запись пользователя.

  6. Перезагрузите компьютер.

    7. > Просмотр журнала безопасности на локальном компьютере

  7. Зарегистрируйтесь в системе по учетной записи Administrator.

  8. В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт Event Viewer (Просмотр событий).


    Если Вы впервые запустили Event Viewer, на экране появится системный журнал Вашего компьютера. В противном случае появится журнал, который Вы просматривали в предыдущем сеансе работы программы.

  9. В меню Log (Журнал) выберите пункт Security (Безопасность), если он еще не выбран.


  10. Просмотрите журнал. Обратите внимание на следующие категории событий:


    • Logon/Logoff (Вход/выход);


    • Object Access (Доступ к объектам);


    • Privilege Use (Использование прав);


    • Account Management (Учетные записи).


    • Чтобы увидеть описание какого-либо события, дважды щелкните его либо, выделив событие, в меню View (Вид) выберите пункт Detail (Сведения).




      • > Просмотр журнала безопасности на удаленном компьютере

      Если в Вашем распоряжении есть два компьютера, зарегистрируйтесь на втором по учетной записи Administrator и выполните это упражнение.

      Примечание Если Ваши компьютеры соединены друг с другом с помощью модема (со скоростью меньше, чем 28800 бит/с), выберите в меню Options (Параметры) пункт Low Speed Connection (Подключение по медленной линии) или в меню Log (Журнал) пункт Select Computer (Выбрать компьютер) и установите флажок Low Speed Connection. Если выбран этот параметр, Windows NT не будет выводить на экран список всех компьютеров домена по умолчанию, тем самым нагрузка на соединение уменьшится.

    • В меню Log (Журнал) выберите пункт Select Computer (Выбрать компьютер). Появится диалоговое окно Select Computer (Выбор компьютера).


    • В поле Computer (Компьютер) введите имя удаленного компьютера или дважды щелкните домен и выберите компьютер из списка.



      • Содержание раздела