Просмотр журналов (фильтрация событий)

В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) " Просмотр событий " позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в " Просмотре событий ". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки " Общие ", имеется также закладка " Фильтр ", позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):


Рис. 16.4.

Можно установить правила отбора:

  • по типу событий — уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;
  • по источнику (например, компоненты системы Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);
  • по категории (например, Диск, Оболочка, Принтеры, Сеть, Службы, Устройства и др.);
  • по известному коду события;
  • по имени пользователя;
  • по имени компьютера;
  • задать период времени — с какого по какой момент времени отобрать события.

На рис. 16.5 изображен фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра — на рис. 16.6 (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы " Журнал событий ).


Рис. 16.5.


Рис. 16.6.

Вернуться к полному просмотру всех событий можно, выбрав в меню " Вид " команду " Все записи " (рис. 16.7):


Рис. 16.7.

Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале " Безопасность ".

Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе " Параметры безопасностиЛокальные политикиПолитики аудита " любого объекта групповых политик.

На рис. 16.8 изображены стандартные политики аудита для организационного подразделения " Контроллеры домена ".


Рис. 16.8.

Рассмотрим параметры этого раздела: