jurnal de securitate în Windows 2018, Windows o pro
infrastructura IT pentru întreprinderea dvs.
Eveniment (ID), iar codurile sunt încă destul de vagi, iar descrierile corespunzătoare din documentația - inexacte. În plus, aici suntem din nou cu care se confruntă cu aceleași probleme crearea de rapoarte, arhivare, raportare și prelucrare a datelor, care a avut loc în Windows NT Server. dificultăți suplimentare sunt, de asemenea, legate de pasiunea Microsoft pentru a face produse în mai multe schimbări în interpretarea ID-ul de la o versiune la alta. Cu toate acestea, dacă aveți la îndemână instrumentele necesare și știu ce să caute în jurnalul de securitate, puteți învăța o mulțime de informații valoroase.
Event Viewer
Utilitarul Event Viewer, există o serie de motoare de căutare și filtrare, dar posibilitățile sunt foarte limitate. Prin intermediul acestui instrument, puteți efectua conservarea și / sau curățarea jurnal de securitate. Pentru a salva o copie a revistei (atunci când faceți clic dreapta și selectați Salvare jurnalul Event), puteți selecta una dintre cele trei formate disponibile: formatul „nativ“ Event Viewer (cu fișier extensia .evt), formatul de date, separate prin virgula (separate prin virgulă Valoare CSV ), sau un format cu un separator sub forma unei file.
În Event Viewer, puteți specifica dimensiunea maximă a jurnalului și securitatea prejudeca acțiunile pe care Windows ar trebui să ia atunci când atinge dimensiunea maximă a jurnalului. Pentru a vizualiza ecranul de instalare a acestor parametri, trebuie să faceți clic dreapta pe registrul corespunzător și selectați Properties ( «Properties»). Aici vă pot spune Windows pentru a suprascrie dacă evenimentele anterioare necesare, pentru a opri de înregistrare în continuare, atâta timp cât cineva nu șterge jurnalul, sau pentru a suprascrie evenimente care au avut loc înainte de numărul de zile specificat. În acest din urmă caz, atunci când se umple înregistrarea ulterioară evenimentului, revista va fi suspendat temporar până suficient timp pentru a apărea în evenimentele de jurnal care îndeplinesc criteriile stabilite de intermediare și, în consecință, să permită eliminarea.
Ecranul audit de securitate 2. Politica
Înregistrare și autentificare
Account Management și Directory Access Serviciu
acces de audit fișiere
Pentru a activa evenimentele de audit pentru obiectul selectat, deschideți proprietățile sale caseta de dialog, selectați fila Securitate, faceți clic pe butonul Avansat, selectați un semn de carte Audit din dreapta, apoi faceți clic pe butonul Add. De exemplu, în figura 4 se poate vedea setarea setărilor de audit pentru fișierul Centers.xls primul trimestru de cost pe care am deschis din Windows Explorer. Rețineți că aveți posibilitatea să specificați un utilizator sau un grup specific care are acces la fișierul pe care doriți să monitorizeze, puteți atribui un audit numai pentru un anumit tip de acces sau de audit numai cu succes (sau nereușită) încearcă să acceseze obiectul. De îndată ce auditarea este activat pentru obiectul corespunzător, Windows va începe să înregistreze evenimentele de deschidere, de închidere și alte tipuri de evenimente pentru obiectul în conformitate cu politica de audit ales pentru el.
Ecranul 4. obiect Setări de audit
Monitorizarea punerii în aplicare a programelor
drepturi de utilizare
schimbări de politică
evenimente de sistem
Jurnalul de securitate este un instrument extrem de puternic pentru monitorizarea activităților utilizatorilor și a personalului departamentelor IT, precum și de detectare a intruziunilor, dar este mijloc foarte dificil. Cu cât este mai profund va fi capabil să înțeleagă caracteristicile structurii sale, cu atât mai mult succesul poate fi realizat prin colaborarea cu ei, iar mai multe date pot fi extrase din jurnale de securitate cu ajutorul unor instrumente disponibile pentru construirea de rapoarte și emite alerte.
Această serie se bazează pe rata de schimb de jurnalul de securitate Secretele Monterey Technology Group.
Partajați imagini cu prietenii și colegii