Построение ЛВС подразделения организации под Windows NT

       

Анализ журналов регистрации событий


В системном журнале содержится список всех событий, которые произошли на рабочей станции,  в соответствии с установленным режимом регистрации. При перезагрузке (начальной загрузке) рабочей станции, подключении любого пользователя с этой станции к сети, либо по требованию администратора системный журнал перемещается на сервер управления доступом и хранится в базе данных на сервере. После этого его содержимое можно анализировать при помощи утилиты NetAdmin. Имеется возможность просмотреть системный журнал полностью или запросить выборку событий. Выборка может быть сделана по имени компьютера, имени пользователя и дате (интервалу дат).

В системном журнале содержатся следующие сведения:

  • дата и время события (колонка "Время");
  • пользователь, в течение работы которого произошло событие (колонка "Пользователь");
  • рабочая станция, на которой произошло событие (колонка "Компьютер");
  • категория  события (колонка "Категория");
  • описание события (колонка "Сообщение").
  • При отображении содержимого системного журнала записи каждого типа выделены своим цветом: обычные события регистрации имеют черный цвет, вход пользователя в систему - зеленый, события НСД - красный, события расширенной регистрации - фиолетовый, сетевые события - зеленый и т.д.[3].

    Проводя анализ системного журнала безопасности, администратор может выявить пользователей, наиболее часто совершающих попытки несанкционированного доступа. На основе этих данных может быть сделан вывод о преднамеренном или случайном характере НСД в случае каждого пользователя.

    В рамках данного дипломного проекта была создана программа, предоставляющая широкие возможности по просмотру и анализу журналов безопасности.



    Содержание раздела