Журнал событий
advertisement
Лекция №22 Мониторинг и аудит ОС Мониторинг Мониторинг — процесс систематического или непрерывного сбора информации о параметрах сложного объекта или деятельности для определения тенденций изменения параметров. Мониторинг — систематический сбор и обработка информации, которая может быть использована для улучшения процесса принятия решения, а также, косвенно, для информирования общественности или прямо как инструмент обратной связи в целях осуществления проектов, оценки программ или выработки политики. Он несёт одну или более из трёх организационных функций: выявляет состояние критических или находящихся в состоянии изменения явлений окружающей среды, в отношении которых будет выработан курс действий на будущее; устанавливает отношения со своим окружением, обеспечивая обратную связь, в отношении предыдущих удач и неудач определенной политики или программ; устанавливает соответствия правилам и контрактным обязательствам. В технической диагностике под мониторингом понимают непрерывный процесс сбора и анализа информации о значении диагностических параметров состояния объекта. Техническая диагностика Техническая диагностика — область знаний, включающая в себя сведения о методах и средствах оценки технического состояния машин, механизмов, оборудования, конструкций и других технических объектов. Техническая диагностика является составной частью технического обслуживания. Основной задачей технического диагностирования является сокращение затрат на техническое обслуживание объектов, и на уменьшение потерь от простоя в результате отказов. Проблемы технической диагностики При проведении технического диагностирования выделяют две основные проблемы: вероятность пропуска неисправности; вероятность «ложной тревоги», то есть вероятность ложного сигнала о наличии неисправности. Чем выше вероятность «ложной тревоги», тем меньше вероятность пропуска неисправности, и наоборот. Задача технической диагностики состоит в нахождении «золотой середины» между этими двумя проблемами. Просмотр событий Event Viewer Журнал приложений Журнал безопасности В журнале приложений содержатся данные, относящиеся к работе приложений и программ. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений. Например, программа поддержки баз данных может заносить в журнал сведения об ошибках, связанных с файлами. Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Журнал системы Журнал системы содержит записи о событиях, внесенные компонентами системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы. Типы событий, заносимых в журнал системы, предварительно определены сервером. На компьютере под управлением операционной системы семейства Windows Server, настроенном как контроллер домена, ведется запись событий в два дополнительных журнала. Журнал службы каталогов Журнал службы каталогов содержит записи о событиях, внесенные службой системы Windows Active Directory. Например, проблемы соединения между сервером и общим каталогом записываются в журнал службы каталогов. Журнал службы репликации файлов В журнале службы репликации файлов содержатся события, заносимые службой репликации файлов Windows. Например, в журнал репликации файлов записываются неудачи при репликации файлов и события, которые происходят, пока контроллеры домена обновляются данными об изменениях каталога Sysvol. Компьютер, работающий под Windows как DNS-сервер, записывает события в дополнительный журнал. Журнал DNS-сервера В журнал DNS-сервер записываются сообщения об событиях, зарегистрированных службой DNS-сервер Windows. На компьютере могут также иметься другие типы событий и журналов событий, в зависимости от установленных служб. Служба журнала событий запускается автоматически при запуске Windows. Пользователь, входящий в группу «Администраторы» на локальном компьютере, может назначать разрешения доступа к журналам событий при помощи групповой политики. Просмотр событий ПРЕДУПРЕЖДЕНИЕ При использовании сервиса протоколирования в журнал следует записывать достаточно важные и нужные сведения о происшедших ошибках, которые действительно потом могут помочь разработчикам разобраться, что же произошло с приложением. Не следует, например, писать в системный журнал с периодичностью 100нс сообщения о том, что пользователь случайно удалил файл readme.txt. Журнал событий – это не средство трассировки. Заголовок события Сведения Дата Время Пользователь Компьютер Источник Событие Тип Категория Описание Дата, соответствующая событию. Дата и время события сохраняются в формате всемирного координированного времени (UTC), но всегда отображаются в соответствии с местоположением пользователя. Время, соответствующее событию. Дата и время события сохраняются в формате всемирного координированного времени (UTC), но всегда отображаются в соответствии с местоположением пользователя. Имя пользователя, действия которого привели к данному событию. Это имя соответствует коду процесса клиента, если событие было вызвано процессом-сервером, и коду основного процесса в случае, если пользователь не причастен к событию. В некоторых случаях запись журнала безопасности содержит оба кода. Олицетворение происходит в тех случаях, когда на сервере один процесс присваивает атрибуты безопасности другого процесса. Имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, если только просмотр событий не выполняется с другого компьютера. Программное обеспечение, записавшее в журнал это событие. Может быть либо именем программы (например, SQL Server), либо компонентом системы (например, имя драйвера) или большой программы. Например, "Elnkii" обозначает драйвер EtherLink II. Источник всегда приводится на языке оригинала. Число, определяющее конкретный тип события для данного источника. В первой строке описания обычно содержится название типа события. Например, 6005 — это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Сведения об источнике и событии в совокупности могут использоваться представителями службы поддержки программного продукта для устранения неполадок. Уровень важности событий: «Ошибка», «Уведомление» или «Предупреждение» в журналах системы и приложений; «Аудит успехов» или «Аудит отказов» в журнале безопасности. В окне просмотра событий тип события представлен соответствующим значком. Категория события в зависимости от источника события. Эти сведения используются преимущественно в журнале безопасности. Например, для аудита событий безопасности категория соответствует одному из типов событий, для которых в групповой политике членом группы «Администраторы» может быть включен аудит успехов или отказов. При описании событий в журнале старайтесь придерживаться следующих рекомендаций, это поможет вам сделать журналы событий удобочитаемыми и опрятными. Помните, что журналы - это уже не только ваши собственные файлы трассировки, а разделяемый сервис, и не только вы ими пользуетесь. Сообщение в журнале событий – это, прежде всего, информация, способная помочь вам, администратору и даже пользователю понять, какая проблема возникла в приложении и как её устранить. В частности, это событие может предназначаться специалисту технической поддержки в вашей компании, и даже ему будет тоскливо читать сообщение: «Процесс А не смог прочитать 0x05 байт 0x2-ого сектора дисковода В». Поэтому идеальное сообщение должно помочь пользователю ответить на следующие вопросы: Могут пригодиться и следующие рекомендации: Что случилось и почему? Что ему (пользователю) делать дальше? Что он (пользователь) может сделать, чтобы этого больше не повторилось? Избегайте условных ошибок. Если вы можете спрогнозировать ошибку, которая может случиться в случае выполнения некоторого действия, перепишите свой код так, чтобы пользователь не получал сообщения об ошибке. Напишите текстовое сообщение для каждой известной ошибки. Используйте системные коды и сообщения об ошибках. Предоставьте пользователю хотя бы один вариант решения проблемы, возникшей вследствие вашей ошибки. Не используйте технические термины, жаргон, сленг и аббревиатуры. В диалоговых сообщениях используйте именно необходимые кнопки (такие как Yes, No, Cancel). Соглашения о стиле содержания сообщения: Используйте подробные, но простые предложения. Не используйте слова, состоящие из одних заглавных букв. Используйте точную семантику. Например, вместо сообщения “Bad size” лучше всё-таки указать пользователю правильный размер. События в журнале В журнал можно записывать пять типов событий. Все типы событий достаточно понятно классифицированы, определены и могут включать много дополнительной информации. Каждое событий, СОВЕТ которое мы посылаем из своего приложения, может иметь только В тексте сообщенияследующие о событии лучше несобытий: применять один тип. Определены типы символы табуляции и точку с запятой, так как журнал Тип события Пояснение может экспортироваться в текстовый файл с Этим типом обычно Многие определяетсяорганизации серьёзная ошибка приложения. Например, исполнение приложения разделителями. импортируют Ошибка (Error) прервалось из-за нехватки ресурсов. журналы событий в свои базы данных для диагностики Предупреждение Этим типом приложение обычно информирует о том, что скоро может возникнуть проблема, например, своими средствами. Строки в формате UNC лучше (Warning) закончится дисковое пространство. заключать в треугольные скобки, например Этим типом приложение обычно информирует об успехе какой-либо важной операции, например, при старте Информация (Information) сервиса. <\\sharename\servername>. Успешный отчёт (Success Этот тип события обычно означает об успехе какой-либо операции доступа, например, пользователь вошёл в Audit) систему. Не успешный отчёт (Fault Этот тип события обычно означает, что произошла какая-то ошибка при доступе к ресурсу, например, Audit) пользователь не смог обратиться к сетевому диску. Поскольку запись в журнал может происходить нечасто, в тексте сообщения следует достаточно полно описывать происшедшее событие. Следует достаточно понятно описывать событие, так как информацию о событии, до того как она попадёт к разработчику, может просмотреть, например, администратор системы и не придав ей особого значения, просто проигнорировать. Форматы файлов с архивами журналов Форматы файлов с архивами журналов Журнал событий можно сохранить в файле одного из трех форматов. Журнал событий (EVT-файл). Позволяет просматривать сохраненный файл журнала в окне просмотра событий. Текст (разделители — табуляция) (TXT-файл). Позволяет использовать сведения журнала в таких программах, как текстовый процессор. Журнал, сохраненный в формате .txt, нельзя открыть в окне «Просмотр событий». Текст (разделители — запятые) (CSV-файл). Позволяет использовать сведения журнала в таких программах, как средства работы с электронными таблицами и базами данных. Журнал, сохраненный в формате .csv, нельзя открыть в окне «Просмотр событий». Элементы журнала событий Всю информацию о настройках журнала сервис берёт из реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog. Каждая – это журнал. Изначально их всего три, но можно создавать свои журналы, и Журнал (Log) ветка в этом ключе Пояснение регистрировать свои приложения как источники событий для этих журналов. Приложение (Application) Этот журнал содержит записи от приложений. Например, если мы зарегистрируем свой источник событий (т.е. приложение) и не укажем журнал, по умолчанию записи будут поступать сюда. Система (System) Этот журнал содержит записи, поступающие от системных служб. Но писать в него может любое приложение. Безопасность (Security) Этот журнал предназначен для аудита, например, событий входа пользователя в систему. Другой (Custom) Можно создать свой журнал. Не поддерживается в Windows NT. Советы и рекомендации по аудиту событий безопасности Составьте план аудита перед реализацией политики аудита Определите, какие сведения нужно получить в результате сбора сведений аудита событий. Если вас интересует выявление вторжений (отслеживание попыток несанкционированного доступа пользователей к ресурсам), можно вести аудит отказов. Однако включение аудита отказов несет в себе риск для организации. Если попыток несанкционированного доступа пользователей к ресурсам будет так много, что переполнится журнал безопасности, компьютер не сможет дальше собирать сведения аудита. При включенной политике Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности пользователи могут проводить атаки на службу, используя политику аудита. Если есть потребность в юридических доказательствах, можно настроить параметры аудита для сбора сведений как аудита успехов, так и аудита отказов. Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит в организации. Рассмотрите доступные ресурсы для сбора и просмотра сведений журнала аудита. Аудит событий требует дополнительного места на компьютерах и отнимает ваше время и время сотрудников вашей организации. Не рекомендуется проводить аудит событий, которые не являются действительно важными. Сбор и архивирование журналов безопасности в организации При совершении вторжения изолируйте и сохраните записи журнала безопасности. Эти записи могут пригодиться при расследовании вторжения. Контрольный журнал содержит сведения об изменениях, произошедших с компьютерами в сети. Если злоумышленник получит права и разрешения администратора, он может очистить журнал безопасности, уничтожив следы своих действий. То же самое может произойти, если администраторы будут злоупотреблять своими правами и разрешениями. Однако при использовании служебных программ, которые регулярно собирают и сохраняют записи журнала безопасности в организации, действия злоумышленника или администратора скорее всего будут отслежены. Примером такой программы является Microsoft Operations Manager. Аудит успехов и отказов в категории системных событий Необычную активность, которая иногда является свидетельством попытки злоумышленника получить доступ к компьютеру или сети, можно отследить с помощью аудита успехов и отказов в категории системных событий. Когда этот параметр включен, количество повторений аудита обычно относительно невелико при относительно высоком качестве получаемых сведений. Советы и рекомендации по аудиту событий безопасности Аудит успехов в категории событий изменения политики на контроллерах домена Событие заносится в журнал в категорию событий изменения политики, только если изменены настройки политики безопасности локальный администратор безопасности. При использовании групповой политики для изменения параметров политики аудита нет необходимости проводить аудит событий в категории событий изменения политики на рядовых серверах. С помощью аудита отказов в категории событий изменения политики можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры политик, в том числе параметры политики безопасности. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов. Аудит успехов в категории событий управления учетными записями С помощью аудита успехов в категории событий управления учетными записями можно получать подтверждения изменений параметров учетных записей и свойств групп. С помощью аудита отказов в категории событий управления учетными записями можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры учетных записей или свойства групп. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов. Аудит успехов в категории событий входа в систему С помощью аудита успехов в категории событий входа в систему можно заносить в журнал время входа каждого пользователя в систему и выход из нее. Таким образом можно будет отследить время нарушения системы безопасности, если неавторизованный пользователь похитит пароль авторизованного пользователя и войдет в систему. С помощью аудита отказов в категории событий входа в систему можно обнаружить попытки неавторизованных пользователей или злоумышленников войти в систему. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности , последствия событий отказа при входе в систему в этих категориях могут быть более серьезными — пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен. Советы и рекомендации по аудиту событий безопасности Аудит успехов в категории событий входа в систему на контроллерах домена При аудите успехов в категории событий входа в систему в журнал заносится время входа пользователей в домен и время выхода из него. Нет необходимости проводить аудит событий в категории событий входа в систему на рядовых серверах. С помощью аудита отказов в категории событий входа в систему можно будет обнаружить попытки неавторизованных пользователей или злоумышленников войти в сеть. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности , последствия событий отказа при входе в систему в этих категориях могут быть более тяжелыми — пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен. Будьте точны при настройке аудита для объекта Для аудита доступа к объектам необходимо включить параметр политики Аудит доступа к объектам в системной таблице управления доступом (SACL), связанной с объектом. Для повышения производительности следует уменьшить число записей в SACL для объекта. 1000 отдельных записей в SACL снижают производительность системы больше, чем одна запись, содержащая 1000 пользователей. Чтобы снизить количество событий и увеличить эффективность каждого события, аудит следует проводить только для действительно важных действий. Например, для занесения событий чтения файла пользователями в журнал не следует проводить аудит полного доступа. Установите соответствующий размер журнала безопасности Размер журнала безопасности важно установить в соответствии с количеством событий, которое зависит от настроек политики аудита.
