Доступ к журналам безопасности удаленно и эффективно
Введение
Существует постоянная потребность и желание использовать журналы безопасности, которые создаются на серверах и настольных компьютерах Windows. Журналы безопасности можно использовать для устранения неполадок, отслеживания доступа к данным, регистрации доступа пользователей и даже для судебной экспертизы. Долгосрочная проблема с журналами безопасности Windows (и всеми журналами в этом отношении) заключается в том, что журналы хранятся на компьютере, где происходит действие. Это создает серьезную проблему даже для самых маленьких компаний, поскольку журналы на сотнях компьютеров могут быть труднодоступными, управляемыми и систематизированными. Однако есть некоторые инструменты, приемы и параметры, которые позволяют каждому администратору, специалисту по безопасности и аудитору удаленно и эффективно собирать информацию с одного или нескольких компьютеров Windows.
Просмотрщик событий
Новое средство просмотра событий, впервые появившееся в Windows Vista и Server 2008, имеет несколько новых функций, которые вы, возможно, захотите учесть при поиске удаленного доступа к журналам безопасности. Новые функции могут помочь вам находить ключевые события безопасности и даже эффективно фильтровать тысячи событий. Структура и справка, поставляемые с новым средством просмотра событий, очень полезны, но другие функции, такие как фильтрация, настраиваемые представления и связывание задачи с событием, обеспечивают еще больший контроль над просмотром событий.
Фильтры
Каждый журнал в средстве просмотра событий можно фильтровать. Фильтр позволит вам сузить то, что отображается в журнале, чтобы вы могли четко видеть только те события, которые вам нужно видеть. Некоторые журналы могут стать очень большими и громоздкими, не говоря уже о включении событий, важных для кого-то, но не для вас и задачи, которую вы пытаетесь выполнить.
Чтобы настроить фильтр, просто щелкните журнал, который вы хотите отфильтровать, а затем выберите параметр «Фильтровать текущий журнал» на правой панели. Появится диалоговое окно «Фильтровать текущий журнал», как показано на рис. 1, и вы сможете настроить то, что хотите видеть. Больше в этом ничего нет, так как параметры фильтрации понятны и просты.
Рисунок 1: Параметры фильтрации в средстве просмотра событий для каждого журнала.
Пользовательские представления
Добавление пользовательских представлений в средство просмотра событий действительно упрощает манипулирование и «анализ» конкретных событий. Это также упрощает просмотр событий для поиска тенденций и потенциальных комбинаций событий для отслеживания злоумышленников или устранения неполадок.
На мой взгляд, ключ к пользовательским представлениям заключается в том, что вы можете использовать ЛЮБОЙ журнал, даже журналы с других компьютеров. Пока журнал находится на компьютере, на котором вы создаете настраиваемое представление, вы можете добавить любое событие в настраиваемое представление. Например, рассмотрим ситуацию, когда у вас возникла проблема с репликацией между вашими контроллерами домена. Создается впечатление, что на одних контроллерах домена есть вся верная информация, на других — часть информации, а на третьих нет никаких обновлений. В этом случае вы можете создать собственное представление из разных журналов на одном компьютере. Вы можете взять весь журнал Active Directory или только определенные идентификаторы событий из Active Directory (или любого другого журнала).
Примечание:
Позже в этой статье мы обсудим, как перенести эти дополнительные журналы на один компьютер для использования в пользовательском представлении.
Для получения дополнительной информации о том, как настроить пользовательские представления, перейдите сюда.
Задачи
В новом средстве просмотра событий вы можете связать запланированную задачу с событием или идентификатором события. Варианты отлично подходят для всех, кому необходимо получать уведомления, когда определенные действия происходят в одной или нескольких системах. Задачи можно создавать непосредственно в средстве просмотра событий, используя параметр «Прикрепить задачу к этому журналу» на правой панели или щелкнув событие, а затем выбрав параметр «Прикрепить задачу к этому событию» на правой панели. В любом случае запустится мастер, который проведет вас через параметры задачи. Вы также можете запустить планировщик заданий, в котором есть новая опция для настройки задач, связанных с событиями.
Дополнительные сведения о настройке задач в средстве просмотра событий для событий и журналов см. здесь.
СобытиеComb
EventComb — это инструмент, созданный и выпущенный Microsoft. Инструмент был доступен в течение некоторого времени, проблема в том, что он не получил широкой огласки и, конечно же, его было нелегко получить. Тем не менее, мощность EventComb довольно впечатляет, в зависимости от того, что вам нужно собрать для событий. Вы можете увидеть все параметры, доступные в интерфейсе EventComb, на рисунке 2.
Фигура 2: EventComb позволяет детально контролировать сбор событий с удаленных компьютеров.
Чтобы получить EventComb, вы можете скачать его отсюда.
Несколько советов при запуске EventComb: он будет генерировать локальный файл для каждого компьютера, который вы сканируете. Он не будет создавать один файл, но вы можете взять сгенерированные файлы и импортировать их в Excel и выполнить поиск по всем файлам и событиям с помощью одного поиска. Возможность контролировать и находить события таким образом значительно упрощает поиск вопросов и проблем.
Подписки и переадресация событий
Одно из самых эффективных решений для удаленного сбора событий — это новая технология, встроенная непосредственно в средство просмотра событий. Технология требует, чтобы у вас были правильные операционные системы, но я уверен, что у большинства из вас уже есть то, что вам нужно. Как минимум, в Таблице 1 показано, что вам нужно для настройки подписок и переадресации.
Настройка подписки и сбор событий в центральном журнале | Может пересылать события в центральный журнал | |
Windows 2000 | Нет | Нет |
Windows XP | Нет | Да |
Windows сервер 2003 | Нет | Да |
Виндоус виста | Да | Да |
Windows Сервер 2008 | Да | Да |
Windows 7 | Да | Да |
Windows Server 2008 R2 | Да | Да |
Таблица 1: Требования к подпискам и пересылке событий.
Чтобы подписки и переадресация событий были настроены для сбора того, что вы хотите, вам потребуется настроить каждый компьютер в процессе так, чтобы он понимал, что он будет собирать события и/или пересылать события. Это легко сделать с помощью нескольких команд на каждом компьютере, которые подробно описаны в этой статье:
Подписки настраиваются на компьютере, который будет собирать события. Каждая подписка определяет, какие компьютеры будут уведомлены о пересылке событий и какие события будут перенаправлены.
После того, как события собраны в центральном журнале, их можно проанализировать с помощью фильтрации, поиска или пользовательских представлений.
Резюме
Возможность удаленного захвата и просмотра событий с некоторых или всех ваших компьютеров в сети необходима для обеспечения безопасности и устранения неполадок. Имея в своем распоряжении так много решений, вам нужно протестировать и проверить, какое решение лучше всего подходит для вас. В самом средстве просмотра событий есть несколько решений, которые могут быть полезны, особенно если вы используете решение для пересылки журнала событий и подписки, которое теперь доступно и бесплатно от Microsoft. Теперь, когда средство просмотра событий поддерживает расширенный поиск, фильтрацию и параметры просмотра, вы можете быстро анализировать журналы и события. EventComb — еще одно решение, которое значительно упрощает синтаксический анализ записей журнала удаленных событий.