6.3 Мониторинг журналов событий

Отслеживание новых сообщений в журналах событий Windows, аудит, утилиты GFI Security Event Log Monitor (SELM) и Event Tracker

Одно из основных средств администратора на предприятии - это аудит. Согласно некоторым оценкам, около 80 % нарушений системы безопасности производится изнутри предприятия - пользователей особенно интересуют документы, которые характеризуют финансовое состояние предприятия, кадровые документы, зарплатные ведомости и т.п. Как правило, пользователи не становятся хакерами мгновенно - они вначале пробуют произвести мелкие нарушения системы безопасности - обратиться к ресурсам, доступ к которым для них закрыт, попробовать "случайно" войти от имени другого пользователя и т.п. Если они понимают, что администратор не контролирует ситуацию в сети предприятия, то начинаются уже более тяжелые нарушения системы безопасности, например с применением специализированных программ. Поэтому опытные администраторы всегда настраивают аудит самых "привлекательных" ресурсов (а иногда и сами настраивают ресурсы - ловушки, аналог honeypots, о которых было рассказано ниже, но для пользователей из локальной сети) и в корне пресекают попытки нарушить требования безопасности на самых ранних этапах. Есть смысл сделать так, чтобы о подобных ситуациях стало известно всем пользователям - чтобы они были уверены, что все происходящее в сети надежно контролируется.

Кроме того, часто бывает необходимо обеспечить мониторинг журналов событий для целей повышения отказоустойчивости - чтобы немедленно реагировать на возникающие проблемы.

Про настройку аудита в этом курсе мы говорить не будем - об этом рассказывается в официальных курсах MOC. Речь в этом разделе пойдет о некоторых утилитах, которые обеспечивают мониторинг журналов событий Windows.

В соответствии с должностными инструкциями на многих крупных предприятиях рабочий день администратора должен начинаться с просмотра журналов событий на всех серверах. Для этой цели можно использовать стандартный Event Viewer, а можно использовать специальные утилиты, которые используются для централизованного просмотра событий одновременно на большом количестве серверов (например, бесплатный EventComb от Microsoft). Однако часто бывает так, что о важных событиях необходимо узнавать сразу же, а не раз в сутки. Стандартные средства от Microsoft для решения этой задачи - те же: Microsoft Operations Manager и WMI-скрипты. Кроме того, мониторинг журналов событий могут осуществлять и рассмотренные нами Servers Alive и ServersCheck. Однако удобнее все-таки это делать при помощи специализированных утилит, некоторые из которых собраны в каталоге Мониторинг\Event Log Monitoring. Одна из самых простых и удобных утилит для этой цели - Event Meister, одни из самых мощных и функциональных - GFI Security Event Log Monitor (SELM) и Event Tracker.

Часто аудит используется также для сбора статистики по обращениям к данным на сервере. В этой ситуации удобнее всего экспортировать журнал событий (например, за неделю) в файл *.CSV (стандартными средствами), затем импортировать его на сервер баз данных и создать отчеты при помощи стандартного генератора отчетов (Crystal Reports или Microsoft Reporting Services, если нужна статистика/графики, то удобно использовать Excel). Выполнять все это руками совсем необязательно - можно создать, например, пакет DTS, который будет выполнять все необходимые операции, а можно воспользоваться специализированными пакетами типа Log Meister, Event Tracker или того же GFI SELM.

Получить учебные материалы по этому курсу