Просмотр журналов (фильтрация событий)
В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) "Просмотр событий" позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в "Просмотре событий". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки "Общие", имеется также закладка "Фильтр", позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):
Рис. 16.4
Можно установить правила отбора:
по типу событий — уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;
по источнику (например, компоненты системы Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);
по категории (например, Диск, Оболочка, Принтеры, Сеть, Службы, Устройства и др.);
по известному коду события;
по имени пользователя;
по имени компьютера;
задать период времени — с какого по какой момент времени отобрать события.
На рис. 16.5 изображен фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра — на рис. 16.6 (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы "Журнал событий).
Рис. 16.5
Рис. 16.6
Вернуться к полному просмотру всех событий можно, выбрав в меню "Вид" команду "Все записи" (рис. 16.7):
Рис. 16.7
Аудит
Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале "Безопасность".
Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе "Параметры безопасности — Локальные политики — Политики аудита" любого объекта групповых политик.
На рис. 16.8 изображены стандартные политики аудита для организационного подразделения "Контроллеры домена".
Рис. 16.8
Рассмотрим параметры этого раздела:
Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;
Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;
Аудит доступа к службе каталогов регистрирует доступ к Active Directory;
Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;
Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);
Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;
Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;
Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;
Аудит управления учетными записями регистрирует управление учетными записями посредством консоли "Active Directory - пользователи и компьютеры" (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).
- 1. Лекция: Задачи и цели сетевого администрирования, понятие о сетевых протоколах и службах
- 1.1 Задачи и цели сетевого администрирования.
- 1.2 Модели межсетевого взаимодействия (модель osi, модель tcp/ip).
- Модель osi.
- Модель tcp/ip.
- Преимущества стека протоколов tcp/ip
- 2. Лекция: Сетевые операционные системы (на примере операционных систем семейства Windows Server); установка и настройка системы
- 2.1 Операционные системы семейства Windows Server как базовый инструмент для изучения курса "Сетевое администрирование"
- 2.2 Обзор редакций и функциональных возможностей системы Windows Server 2000/2003
- Планирование приобретения и установки системы
- 2.3 Установка и начальная настройка системы
- Выбор режима установки
- Выбор носителя дистрибутива системы
- Процесс установки системы
- 3. Лабораторная работа: Установка операционной системы Windows 2003 Server:
- 4. Лекция: Протокол tcp/ip, служба dns:
- 4.1 Основы функционирования протокола tcp/ip (ip-адрес, маска подсети, основной шлюз; деление на подсети с помощью маски подсети; введение в ip-маршрутизацию). Адресация узлов в ip-сетях
- Unicast-адреса.
- Публичные и приватные (частные) ip-адреса
- Отображение ip-адресов на физические адреса
- Разбиение сетей на подсети с помощью маски подсети
- Введение в ip-маршрутизацию
- 4.2 Служба dns (домены, зоны; зоны прямого и обратного просмотра; основные и дополнительные зоны; рекурсивный и итеративный запросы на разрешение имен).
- Необходимость отображения имен сетевых узлов в ip-адреса
- Использование локального файла hosts и системы доменных имен dns для разрешения имен сетевых узлов
- Служба dns: пространство имен, домены
- Служба dns: домены и зоны
- Зоны прямого и обратного просмотра
- Алгоритмы работы итеративных и рекурсивных запросов dns
- Реализация службы dns в системах семейства Windows Server
- 4.3 Диагностические утилиты tcp/ip и dns.
- 5. Лабораторная работа: Протокол tcp/ip, служба dns:
- Упражнение 1. Базовые сведения о параметрах протокола tcp/ip. Проверка коммуникаций с помощью команды ping.
- Упражнение 2. Установка службы dns. Создание зон прямого просмотра (forward lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.
- Упражнение 3. Создание зон обратного просмотра (reverse lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.
- Упражнение 4. Диагностические утилиты для протокола tcp/ip: ipconfig, arp, ping, netstat, nbtstat, tracert, pathping
- Упражнение 5. Завершающие действия
- 6. Лекция: Служба каталогов Active Directory
- Модель "Рабочая группа"
- Доменная модель
- Назначение службы каталогов Active Directory
- Терминология
- Глобальный каталог
- Именование объектов
- Планирование пространства имен ad
- Установка контроллеров доменов
- 6.2 Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций Логическая структура Active Directory
- Физическая структура Active Directory
- Репликация, управление топологией репликации
- Репликация внутри сайта
- Репликация между сайтами
- Функциональные уровни домена и леса
- Серверы Глобального каталога и Хозяева операций
- Сервер глобального каталога
- 6.3 Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики Управление пользователями и группами
- Локальные учетные записи
- Управление доменными учетными записями пользователей
- Создание доменной учетной записи
- Обзор свойств учетных записей пользователей
- Управление группами
- Управление Организационными подразделениями, делегирование полномочий
- Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, оп), применение политик и права доступа, наследование и блокировка применения
- Управление приложениями
- 6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
- Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
- 7. Лабораторная работа: Служба каталогов Active Directory
- Упражнение 1. Установка первого контроллера в домене (лесе).
- Упражнение 2. Установка второго контроллера домена с помощью репликации бд Active Directory с первого контроллера домена.
- Упражнение 3. Установка второго контроллера домена из резервной копии бд Active Directory первого контроллера домена.
- Упражнение 4. Управление пользователями и группами; режимы функционирования домена
- Упражнение 5. Структура службы каталогов Active Directory, управление репликацией, хозяева операций
- Упражнение 6. Организационные подразделения (оп), делегирование административных полномочий
- Упражнение 7. Организационные подразделения (оп), групповые политики (гп)
- Упражнение 8. Управление приложениями с помощью групповых политик
- Упражнение 9. Консоль управления групповыми политиками - Group Policy Management Console
- Упражнение 10. Управление объектами Active Directory утилитами командной строки
- Упражнение 11. Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
- 8. Лекция: Служба файлов и печати
- 8.1 Базовые и динамические диски, тома. Файловые системы fat16, fat32, ntfs
- Базовые и динамические диски, тома Базовые (основные) диски
- Динамические диски
- Чередующийся том
- Файловые системы fat16, fat32, ntfs
- Задачи файловой системы
- Файловая система fat
- Файловая система ntfs
- 8.2 Права доступа, наследование прав доступа, взятие во владение, аудит доступа к ресурсам Права доступа, наследование прав доступа, взятие во владение
- Предоставление общего доступа к папке
- Определение суммарных сетевых разрешений
- Специальные сетевые ресурсы
- Разрешения ntfs
- Механизм применения разрешений
- Порядок применения разрешений
- Владение папкой или файлом
- Совместное использование сетевых разрешений и разрешений ntfs
- Управление доступом с помощью групп
- Аудит доступа к ресурсам
- 8.3 Сжатие и шифрование информации. Квоты. Дефрагментация Сжатие и шифрование информации Сжатие информации
- Шифрование информации
- Дефрагментация
- 8.4 Термины и понятия сетевой печати. Установка драйверов, настройка принтеров. Протокол ipp (Internet Printing Protocol)
- Термины и понятия сетевой печати
- Установка драйверов, настройка принтеров
- Установка принтера на сервере
- Подключение к сетевому принтеру с клиентского пк
- Общие параметры сервера печати
- Свойства принтера
- Управление очередью печати
- Протокол ipp (Internet Printing Protocol)
- Установка службы печати через Интернет
- Подключение клиента
- Управление очередью печати
- 9. Лабораторная работа: Служба файлов и печати
- Упражнение 1. Подготовка контроллеров домена для упражнений с дисками и файловыми системами.
- Упражнение 2. Управление дисками.
- Упражнение 3. Управление доступом к файловым ресурсам (сетевые права доступа, локальные права доступа, взятие во владение).
- Упражнение 4. Дефрагментация раздела.
- Упражнение 5. Управление квотами.
- Упражнение 6. Сжатие и шифрование файлов.
- Упражнение 7. Аудит доступа к файловым ресурсам.
- Упражнение 8. Автономные файлы.
- Упражнение 9. Установка принтера, настройка свойств и параметров печати. Настройка протокола ipp.
- 10. Лекция: Сетевые протоколы и службы
- 10.1 Обзор сетевых протоколов NetBeui, ipx/spx; служб dhcp, wins, rras Сетевые протоколы ipx/spx, NetBeui
- Протокол NetBeui
- Стек протоколов ipx/spx
- Служба dhcp
- Планирование серверов dhcp
- Установка и авторизация сервера dhcp
- Настройка параметров dhcp-сервера Создание области и настройка ее параметров
- Настройка dhcp-клиентов
- Агент ретрансляции dhcp-запросов
- Служба wins
- Пространство имен NetBios
- Установка службы wins
- Настройка клиента wins
- Просмотр записей, зарегистрированных в бд сервера wins
- Процесс разрешения имен в пространстве NetBios
- Репликация wins-серверов
- Служба rras
- Установка и первоначальная настройка службы rras
- Настройка прав пользователей для подключения к серверу удаленного доступа
- Настройка Свойств сервера
- Использование службы radius
- Виртуальные частные сети
- Технологии виртуальных частных сетей
- Политики удаленного доступа
- 11. Лабораторная работа: Сетевые протоколы и службы
- Упражнение 1. Установка и настройка сервера dhcp.
- Упражнение 2. Установка и настройка сервера wins.
- Лекция: Служба резервного копирования
- 12.1 Архивирование и восстановление файловых ресурсов Базовые понятия службы резервного копирования
- Типы резервного копирования
- Разработка и реализация стратегии резервного копирования Понятие плана архивации
- Выбор архивных устройств и носителей
- Типовые решения архивации
- Пример создания задания на выполнения архивации данных
- Пример восстановления данных из резервной копии
- Теневые копии
- Использование теневых копий
- 12.2 Архивирование и восстановление состояния системы
- Архивирование и восстановление состояния системы
- Автоматическое аварийное восстановление системы
- Создание asr-копии
- Восстановление системы с помощью asr-копии
- 13. Лабораторная работа: Резервное копирование и восстановление данных
- Упражнение 1. Настройка программы резервного копирования и восстановления данных
- Упражнение 2. Создание резервной копии папки с документами и восстановление удаленного документа
- Упражнение 3. Создание резервной копии состояния системы
- 14. Лекция: Управление сервером
- 14.1 Консоль "Управление компьютером", консоль mmc (Microsoft Management Console), "Удаленный помощник", "Удаленный рабочий стол" Консоль "Управление компьютером"
- Консоль mmc (Microsoft Management Console)
- Параметры консоли
- "Удаленный помощник"
- "Удаленный рабочий стол"
- Режим удаленного управления сервером
- Средства администрирования служб терминалов
- Управление Свойствами пользователя для работы со службами терминалов
- Подключение к серверу терминалов
- Работа в терминальной сессии
- Подключение к сеансам других пользователей
- Завершение сеанса работы на сервере терминалов
- Настройка разрешений для подключения к серверу терминалов
- Работа служб терминалов в режиме сервера приложений
- 15. Лабораторная работа: Управление сервером
- Упражнение 1. Консоль управления (Microsoft Management Console).
- Упражнение 2. Удаленный помощник.
- Упражнение 3. Удаленный рабочий стол.
- Упражнение 4. Консоль "Управление компьютером".
- Упражнение 5. Установка набора административных консолей системы Windows Server.
- 16. Лекция: Мониторинг
- Мониторинг сетевых устройств. Мониторинг серверов (просмотр событий, аудит, мониторинг производительности, определение узких мест, мониторинг сетевой активности) Просмотр событий
- Работа с журналами
- Настройка параметров журналов событий
- Просмотр журналов (фильтрация событий)
- Аудит доступа к объектам
- Мониторинг производительности
- Диспетчер задач
- Управление приложениями
- Управление процессами
- Мониторинг загруженности системы
- Мониторинг производительности сети
- Мониторинг удаленных подключений
- Консоль "Производительность"
- Журнал оповещений
- Рекомендации по критическим значениям счетчиков
- Первоначальная настройка параметров
- Фильтрация просматриваемых данных
- 17. Лабораторная работа: Мониторинг сетевых протоколов и служб
- Упражнение 2. Мониторинг производительности
- Упражнение 3. Сетевой монитор