5 Семестр / БОС 2.10
.pdfДалее рассматривается возможности сохранения журнала событий и изменении основного журнала, что представлено на рисунках 1.12 – 1.13.
Рисунок 1.12 – Сохраненный фильтр журнала событий
Рисунок 1.13 – Изменение основного журнала
11
1.3 Конфигурация аудита. Настройка аудита событий файлов
Первоочередно необходимо запустить утилиту «Конфигурация аудита» и перейти в раздел «Конфигурация». Далее необходимо добавить файл для наблюдения и отметить совпадающие события ключами с параметрами,
представленными на рисунке 1.14.
Рисунок 1.14 – Создание ключа события
После вышеописанных действий будет отобразиться правило,
представленное на рисунке 1.15.
12
Рисунок 1.15 – Созданное правило
1.4 Настройка аудита процессов. Настройка аудита системных вызовов
Также имеется возможность аудита процессов. Для этого необходимо сделать задание с условием, представленным на рисунке 1.16.
13
Рисунок 1.16 – Условие для задания подвергаемому аудиту
Для настройки аудита системных вызовов следует добавить новое правило в параметре «Системные вызовы» и «Условия» которого необходимо выставить параметры, представленные рисунках 1.17 – 1.18.
14
Рисунок 1.17 – Системные вызовы правила аудита
Рисунок 1.18 – Условия правила аудита
15
1.4 Настройка аудита событий, отправляемых программами.
Отключение для аудита определенного типа. Глобальные настройки
аудита
Для настройки аудита системных вызовов следует добавить новое событие в разделе «События доверенных приложений», а также в разделе
«Заблокированные события» задать условие, что представлено на рисунках
1.19 – 1.20 соответственно.
Рисунок 1.19 – Окно «Правила типа событий»
16
Рисунок 1.20 – Правило для заблокированных событий
Далее рассматриваются глобальные настройки аудита, которые определяют общие правила работы системы аудита, главное окно который представлено на рисунке 1.21.
17
Рисунок 1.21 – Главное окно глобальных настроек аудита
1.5 Журнал аудита
Первоочередно необходимо открыть утилиту «Журнал аудита», в
котором рассматривается возможность создания новой вкладки журнала, а
именно журнала ядра, что представлено на рисунке 1.22. Также далее рассматриваются настройка журналов аудита где можно наблюдать информацию об отсутствующих настройках журнала, что представлено на рисунке 1.23.
18
Рисунок 1.22 – Новая вкладка журнала аудита
Рисунок 1.23 – Отсутствующие настройку журнала
19
2 ВЫПОЛНЕНИЕ ИНДИВИДУАЛЬНОГО ЗАДАНИЯ
Согласно варианту заданию, представленному на рисунке 2.1,
необходимо включить регистрацию события с отправкой уведомления,
продемонстрировав корректность работы, а также произвести фильтрацию сообщений в журнале системных событий сохранив фильтр и продемонстрировав корректность работы, что представлено на рисунках 2.2 – 2.6.
Рисунок 2.1 – Вариант задания
Рисунок 2.2 – Создание уведомления согласно варианту
20