Права доступа | Журнал | ||||||||
Системный | Безопасности | Приложений | |||||||
Чтение | Запись | Очистка | R | W | C | R | W | C | |
System | + | + | + | + | + | + | + | + | + |
Администраторы | + | + | + | + | + | + | + | + | |
Операторы сервера | + | + | + | + | + | ||||
Все | + | + | + |
Журналы NT- XP находятся в папке Windows\system32\config в трех файлах:
- AppEvent.еvt (журнал приложений);
- SecEvent.evt (журнал безопасности);
- SysEvent.evt (системный журнал).
При запуске их открывает и блокирует ОС.
В журнал для событий записывается следующая информация:
- тип события;
- дата;
- время;
- источник, т.е. ПО, произведшее запись;
- категория;
- код события;
- имя пользователя, действия которого привели к возникновению события;
- имя компьютера, где произошло событие.
Рис. 1.2. Свойства события
При нажатии левой клавиши мыши на определенном событии из журнала можно получить более детальную информацию о данном событии (рис. 1.2).
Командой « Сохранить файл журнала как» можно сохранить данные в текстовом виде.
В свойствах журнала можно определить действия при заполнении файла данного журнала (рис. 1.3):
|
|
- затирать старые события при необходимости;
- затирать событие старше N дней, иначе новые события будут проигнорированы;
- не затирать события (очистка журнала вручную).
Для сортировки и фильтрации служит вкладка «Фильтр» свойств журнала (рис. 1.4).
Рис. 1.3. Окно свойств журнала
Рис. 1.4. Настройка фильтрации событий журнала
По умолчанию аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности».