Лабораторная работа 6.2 Мониторинг событий аудита в режиме реального времени

Отслеживание доступа к файлу, мониторинг обращения к файлам в реальном времени, программа EventTracker

Задание:

1) Включите аудит на доступ к объектам на вашем компьютере.

2) Создайте на вашем компьютере текстовый файл C:\confidential.txt и внесите в него какой-либо текст. Настройте для этого текстового файла аудит для обращений на чтение от любых пользователей.

3) Установите на свой компьютер программу EventTracker (из каталога Мониторинг\Event Log Monitoring\EventTracker).

4) Настройте отслеживание событий аудита в EventTracker таким образом, чтобы при любом обращении к файлу c:\confidential.txt на ваш рабочий стол выдавалось соответствующее сообщение по NET SEND.

5) Обратитесь к файлу c:\confidential.txt и убедитесь, что настроенное оповещение срабатывает. По окончании лабораторной отключите оповещение.

Решение:

1) Откройте консоль Active Directory Users and Computers, раскройте узел для своего домена, щелкните правой кнопкой мыши по контейнеру Domain Controllers, в контекстном меню выберите Properties и перейдите на вкладку Group Policy. Выделите строку Default Domain Controller Policy и нажмите на кнопку Edit. Откроется окно Group Policy Object Editor.

2) В окне Group Policy Object Editor раскройте узел Computer Configuration -> Windows Settings -> Secuirty Settings -> Local Policies -> Audit Policies, щелкните по строке Audit object access и установите флажки Success и Failure. Закройте окно редактора групповых политик с сохранением сделанных изменений и выполните в командной строке команду GPUDATE.

3) После создания текстового файла C:\confidential.txt щелкните по нему правой кнопкой мыши, в контекстном меню выберите Properties и перейдите на вкладку Security.

4) Нажмите на кнопку Advanced, перейдите на вкладку Auditing и нажмите на кнопку Add. В поле Enter the object name to select... введите Everyone, нажмите на кнопку Check Names, а затем нажмите OK.

5) В окне Auditing Entry for confidential.txt установите флажки Successful и Failed напротив строки List Folder/Read Data, затем три раза нажмите OK, чтобы закрыть окно свойств файла.

6) Откройте файл confidential.txt в блокноте, затем откройте Event Viewer и просмотрите в журнале событий Security события с EventID 560.

7) Из каталога Мониторинг\Event Log Monitoring\EventTracker на компакт-диске запустите программу ETEwal4-6.exe. Произведите установку с параметрами по умолчанию. На экране Select Applications выберите Enterprise Management Console. На экране Basic Configuration оставьте значения по умолчанию. На экране Get Available Windows Events не устанавливайте флажок Get existing events into Event Tracker.

8) После окончания установки из меню Start -> Programs -> Prism Microsystems -> EventTracker запустите программу Event Tracker Management Console.

9) В Event Tracker Management Console в меню Configure выберите Configure Alerts и нажмите на кнопку Add.

10) На экране Alert Group Configuration введите имя оповещения, например, "Обращение к confidential.txt" и нажмите на кнопку Next.

11) На экране Event Details нажмите на кнопку Add Event и введите:

в поле Event Type - Audit Success;

в поле Log Type - Security;

в поле EventID - 560;

в поле Match in Event Descr - C:\confidential.txt.

Нажмите на кнопку OK, а затем еще раз нажмите на кнопку Add и введите такое же событие, но для поля Event Type выберите тип Audit Failure.

Нажмите на кнопку Next.

12) На экране Computers выберите свой компьютер и нажмите на кнопку Add, чтобы поместить его в список выбранных компьютеров.

13) На экране Actions установите флажок Send net message и в окне Message введите имя своего компьютера. Затем три раза нажмите на кнопку OK, чтобы завершить создание оповещения.

14) Откройте в блокноте файл confidential.txt, чтобы убедиться, что оповещение срабатывает (при генерации первого сообщения может быть пауза в 10-15 секунд).

15) Чтобы отключить оповещение, еще раз в меню Configure выберите Configure Alerts и снимите флажок в столбце Message напротив вашего оповещения.

Получить учебные материалы по этому курсу