Журнал регистрации ОС Windows NT
Операционная система Windows NT имеет возможность запоминать различные события, происходящие в ней. Как написано в документации, событием считается любая ситуация в системе или в приложении, о которой пользователь должен получить уведомление. Существуют три журнала регистрации (EventLog), которые могут анализироваться специалистом по безопасности. · Журнал системных событий (System EventLog), в котором фиксируются события, регистрируемые системными компонентами Windows NT, например, драйверами или Менеджером управления службами (Service Control Manager). · Журнал приложений (Application EventLog), в котором хранятся сведения событиях, фиксируемые прикладным программным обеспечением. Любая программа, разработанная третьей фирмой, может заносить свои события в данный журнал. · Журнал безопасности (Security EventLog), содержащий события, регистрируемые системой безопасности Windows NT. Формат журналов, которые хранятся в каталоге %SystemRoot%\system32\config, един для всех трех и содержит 7 полей (рис. 4.4). · Дата (Data). В данное поле помещается дата регистрации события. · Время (Time). Поле хранит время регистрации события. · Источник (Source). В этом поле содержится ссылка на программное обеспечение, которое регистрирует событие, заносимое в журнал регистрации. Например, "DrWatson", "EventLog" или "Security".
Рис. 4.4. Журнал Windows NT EventLog
· Категория (Category). В данное поле помещается название категории событий, зависящей от типа журнала регистрации. К таким категориям относятся: "Вход\Выход", "Изменение политики", "Системное событие", "Доступ к объекту", "Подробное слежение", "Использование прав" и т. д. · Код (Code). Номер, определяющий конкретное событие. Например, 560 или 528. · Пользователь (User). Указывает на субъекта системы, с которым связано учитываемое событие. Например, SYSTEM, Administrator или Luka. · Компьютер (Computer). Идентифицирует имя компьютера, на котором зарегистрировано событие. Например, WS_LUKA.
Чтобы не быть голословным, приведу некоторые типы событий, фиксируемых в журнале регистрации ОС Windows NT 4.0 (табл. 4.1) [Microsoft1-00]. С соответствующим полным списком можно ознакомиться на Web-сервере компании Microsoft.
Таблица 4.1. Типы событий, регистрируемых ОС Windows NT
Таблица 4.1 (окончание)
Из этих событий наибольший интерес вызывают те, которые могут указывать на присутствие несанкционированной деятельности (табл. 4.2) [Microsoft2-00].
Таблица 4.2. Типы подозрительных событий регистрируемых ОС Windows NT
Популярное: Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... Личность ребенка как объект и субъект в образовательной технологии: В настоящее время в России идет становление новой системы образования, ориентированного на вхождение... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (701)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |