Журнал регистрации ОС Windows NT
Операционная система Windows NT имеет возможность запоминать различные события, происходящие в ней. Как написано в документации, событием считается любая ситуация в системе или в приложении, о которой пользователь должен получить уведомление. Существуют три журнала регистрации (EventLog), которые могут анализироваться специалистом по безопасности. · Журнал системных событий (System EventLog), в котором фиксируются события, регистрируемые системными компонентами Windows NT, например, драйверами или Менеджером управления службами (Service Control Manager). · Журнал приложений (Application EventLog), в котором хранятся сведения событиях, фиксируемые прикладным программным обеспечением. Любая программа, разработанная третьей фирмой, может заносить свои события в данный журнал. · Журнал безопасности (Security EventLog), содержащий события, регистрируемые системой безопасности Windows NT. Формат журналов, которые хранятся в каталоге %SystemRoot%\system32\config, един для всех трех и содержит 7 полей (рис. 4.4). · Дата (Data). В данное поле помещается дата регистрации события. · Время (Time). Поле хранит время регистрации события. · Источник (Source). В этом поле содержится ссылка на программное обеспечение, которое регистрирует событие, заносимое в журнал регистрации. Например, "DrWatson", "EventLog" или "Security".
Рис. 4.4. Журнал Windows NT EventLog
· Категория (Category). В данное поле помещается название категории событий, зависящей от типа журнала регистрации. К таким категориям относятся: "Вход\Выход", "Изменение политики", "Системное событие", "Доступ к объекту", "Подробное слежение", "Использование прав" и т. д. · Код (Code). Номер, определяющий конкретное событие. Например, 560 или 528. · Пользователь (User). Указывает на субъекта системы, с которым связано учитываемое событие. Например, SYSTEM, Administrator или Luka. · Компьютер (Computer). Идентифицирует имя компьютера, на котором зарегистрировано событие. Например, WS_LUKA.
Чтобы не быть голословным, приведу некоторые типы событий, фиксируемых в журнале регистрации ОС Windows NT 4.0 (табл. 4.1) [Microsoft1-00]. С соответствующим полным списком можно ознакомиться на Web-сервере компании Microsoft.
Таблица 4.1. Типы событий, регистрируемых ОС Windows NT
Таблица 4.1 (окончание)
Из этих событий наибольший интерес вызывают те, которые могут указывать на присутствие несанкционированной деятельности (табл. 4.2) [Microsoft2-00].
Таблица 4.2. Типы подозрительных событий регистрируемых ОС Windows NT
Популярное: Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (693)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |