Лекция №22 презентация

объекта или деятельности для определения тенденций изменения параметров.
Мониторинг — систематический сбор и обработка информации, которая может быть использована для улучшения процесса принятия решения, а также, косвенно, для информирования общественности или прямо как инструмент обратной связи в целях осуществления проектов, оценки программ или выработки политики. Он несёт одну или более из трёх организационных функций:
выявляет состояние критических или находящихся в состоянии изменения явлений окружающей среды, в отношении которых будет выработан курс действий на будущее;
устанавливает отношения со своим окружением, обеспечивая обратную связь, в отношении предыдущих удач и неудач определенной политики или программ;
устанавливает соответствия правилам и контрактным обязательствам.
В технической диагностике под мониторингом понимают непрерывный процесс сбора и анализа информации о значении диагностических параметров состояния объекта.

и средствах оценки технического состояния машин, механизмов, оборудования, конструкций и других технических объектов.
Техническая диагностика является составной частью технического обслуживания. Основной задачей технического диагностирования является сокращение затрат на техническое обслуживание объектов, и на уменьшение потерь от простоя в результате отказов.

неисправности;
вероятность «ложной тревоги», то есть вероятность ложного сигнала о наличии неисправности.
Чем выше вероятность «ложной тревоги», тем меньше вероятность пропуска неисправности, и наоборот. Задача технической диагностики состоит в нахождении «золотой середины» между этими двумя проблемами.

работе приложений и программ. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений. Например, программа поддержки баз данных может заносить в журнал сведения об ошибках, связанных с файлами.
Журнал безопасности
Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности.
Журнал системы
Журнал системы содержит записи о событиях, внесенные компонентами системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы. Типы событий, заносимых в журнал системы, предварительно определены сервером.
На компьютере под управлением операционной системы семейства Windows Server, настроенном как контроллер домена, ведется запись событий в два дополнительных журнала.
Журнал службы каталогов
Журнал службы каталогов содержит записи о событиях, внесенные службой системы Windows Active Directory. Например, проблемы соединения между сервером и общим каталогом записываются в журнал службы каталогов.
Журнал службы репликации файлов
В журнале службы репликации файлов содержатся события, заносимые службой репликации файлов Windows. Например, в журнал репликации файлов записываются неудачи при репликации файлов и события, которые происходят, пока контроллеры домена обновляются данными об изменениях каталога Sysvol.
Компьютер, работающий под Windows как DNS-сервер, записывает события в дополнительный журнал.
Журнал DNS-сервера
В журнал DNS-сервер записываются сообщения об событиях, зарегистрированных службой DNS-сервер Windows.
На компьютере могут также иметься другие типы событий и журналов событий, в зависимости от установленных служб.
Служба журнала событий запускается автоматически при запуске Windows.
Пользователь, входящий в группу «Администраторы» на локальном компьютере, может назначать разрешения доступа к журналам событий при помощи групповой политики.

и нужные сведения о происшедших ошибках, которые действительно потом могут помочь разработчикам разобраться, что же произошло с приложением. Не следует, например, писать в системный журнал с периодичностью 100нс сообщения о том, что пользователь случайно удалил файл readme.txt. Журнал событий – это не средство трассировки.

вам сделать журналы событий удобочитаемыми и опрятными. Помните, что журналы - это уже не только ваши собственные файлы трассировки, а разделяемый сервис, и не только вы ими пользуетесь.
Сообщение в журнале событий – это, прежде всего, информация, способная помочь вам, администратору и даже пользователю понять, какая проблема возникла в приложении и как её устранить. В частности, это событие может предназначаться специалисту технической поддержки в вашей компании, и даже ему будет тоскливо читать сообщение: «Процесс А не смог прочитать 0x05 байт 0x2-ого сектора дисковода В». Поэтому идеальное сообщение должно помочь пользователю ответить на следующие вопросы:
Что случилось и почему?
Что ему (пользователю) делать дальше?
Что он (пользователь) может сделать, чтобы этого больше не повторилось?
Могут пригодиться и следующие рекомендации:
Избегайте условных ошибок. Если вы можете спрогнозировать ошибку, которая может случиться в случае выполнения некоторого действия, перепишите свой код так, чтобы пользователь не получал сообщения об ошибке.
Напишите текстовое сообщение для каждой известной ошибки.
Используйте системные коды и сообщения об ошибках.
Предоставьте пользователю хотя бы один вариант решения проблемы, возникшей вследствие вашей ошибки.
Не используйте технические термины, жаргон, сленг и аббревиатуры.
В диалоговых сообщениях используйте именно необходимые кнопки (такие как Yes, No, Cancel).
Соглашения о стиле содержания сообщения:
Используйте подробные, но простые предложения.
Не используйте слова, состоящие из одних заглавных букв.
Используйте точную семантику. Например, вместо сообщения “Bad size” лучше всё-таки указать пользователю правильный размер.

событий достаточно понятно классифицированы, определены и могут включать много дополнительной информации. Каждое событий, которое мы посылаем из своего приложения, может иметь только один тип. Определены следующие типы событий:

Поскольку запись в журнал может происходить нечасто, в тексте сообщения следует достаточно полно описывать происшедшее событие. Следует достаточно понятно описывать событие, так как информацию о событии, до того как она попадёт к разработчику, может просмотреть, например, администратор системы и не придав ей особого значения, просто проигнорировать.

СОВЕТ В тексте сообщения о событии лучше не применять символы табуляции и точку с запятой, так как журнал может экспортироваться в текстовый файл с разделителями. Многие организации импортируют журналы событий в свои базы данных для диагностики своими средствами. Строки в формате UNC лучше заключать в треугольные скобки, например <\\sharename\servername>.

сохранить в файле одного из трех форматов.
Журнал событий (EVT-файл). Позволяет просматривать сохраненный файл журнала в окне просмотра событий.
Текст (разделители — табуляция) (TXT-файл). Позволяет использовать сведения журнала в таких программах, как текстовый процессор. Журнал, сохраненный в формате .txt, нельзя открыть в окне «Просмотр событий». 
Текст (разделители — запятые) (CSV-файл). Позволяет использовать сведения журнала в таких программах, как средства работы с электронными таблицами и базами данных. Журнал, сохраненный в формате .csv, нельзя открыть в окне «Просмотр событий». 

ветка в этом ключе – это журнал. Изначально их всего три, но можно создавать свои журналы, и регистрировать свои приложения как источники событий для этих журналов.

политики аудита
Определите, какие сведения нужно получить в результате сбора сведений аудита событий. 
Если вас интересует выявление вторжений (отслеживание попыток несанкционированного доступа пользователей к ресурсам), можно вести аудит отказов. Однако включение аудита отказов несет в себе риск для организации. Если попыток несанкционированного доступа пользователей к ресурсам будет так много, что переполнится журнал безопасности, компьютер не сможет дальше собирать сведения аудита. При включенной политике Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности пользователи могут проводить атаки на службу, используя политику аудита.
Если есть потребность в юридических доказательствах, можно настроить параметры аудита для сбора сведений как аудита успехов, так и аудита отказов. Таким образом, в журнале аудита будут собраны сведения, точно описывающие, что происходит в организации.
Рассмотрите доступные ресурсы для сбора и просмотра сведений журнала аудита. Аудит событий требует дополнительного места на компьютерах и отнимает ваше время и время сотрудников вашей организации. Не рекомендуется проводить аудит событий, которые не являются действительно важными.
Сбор и архивирование журналов безопасности в организации
При совершении вторжения изолируйте и сохраните записи журнала безопасности. Эти записи могут пригодиться при расследовании вторжения.
Контрольный журнал содержит сведения об изменениях, произошедших с компьютерами в сети. Если злоумышленник получит права и разрешения администратора, он может очистить журнал безопасности, уничтожив следы своих действий. То же самое может произойти, если администраторы будут злоупотреблять своими правами и разрешениями. Однако при использовании служебных программ, которые регулярно собирают и сохраняют записи журнала безопасности в организации, действия злоумышленника или администратора скорее всего будут отслежены. Примером такой программы является Microsoft Operations Manager.
Аудит успехов и отказов в категории системных событий
Необычную активность, которая иногда является свидетельством попытки злоумышленника получить доступ к компьютеру или сети, можно отследить с помощью аудита успехов и отказов в категории системных событий.
Когда этот параметр включен, количество повторений аудита обычно относительно невелико при относительно высоком качестве получаемых сведений. 

в журнал в категорию событий изменения политики, только если изменены настройки политики безопасности локальный администратор безопасности.
При использовании групповой политики для изменения параметров политики аудита нет необходимости проводить аудит событий в категории событий изменения политики на рядовых серверах.
С помощью аудита отказов в категории событий изменения политики можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры политик, в том числе параметры политики безопасности. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов. 
Аудит успехов в категории событий управления учетными записями
С помощью аудита успехов в категории событий управления учетными записями можно получать подтверждения изменений параметров учетных записей и свойств групп.
С помощью аудита отказов в категории событий управления учетными записями можно обнаружить попытки неавторизованных пользователей или злоумышленников изменить параметры учетных записей или свойства групп. Однако увеличение потребления ресурсов и возможность атаки на службу обычно перевешивает выгоды от обнаружения вторжений при проведении аудита отказов.
Аудит успехов в категории событий входа в систему
С помощью аудита успехов в категории событий входа в систему можно заносить в журнал время входа каждого пользователя в систему и выход из нее. Таким образом можно будет отследить время нарушения системы безопасности, если неавторизованный пользователь похитит пароль авторизованного пользователя и войдет в систему.
С помощью аудита отказов в категории событий входа в систему можно обнаружить попытки неавторизованных пользователей или злоумышленников войти в систему. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности , последствия событий отказа при входе в систему в этих категориях могут быть более серьезными — пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен.

Советы и рекомендации по аудиту событий безопасности

аудите успехов в категории событий входа в систему в журнал заносится время входа пользователей в домен и время выхода из него.
Нет необходимости проводить аудит событий в категории событий входа в систему на рядовых серверах.
С помощью аудита отказов в категории событий входа в систему можно будет обнаружить попытки неавторизованных пользователей или злоумышленников войти в сеть. Однако при этом возрастает риск атаки на службу. Если в этих категориях событий включен аудит отказов, не относящиеся к данной организации пользователи могут заполнять журнал безопасности или вызывать перезапись событий из-за непрерывных попыток войти в сеть с неправильными именами пользователей и паролями. Если также включена политика Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности , последствия событий отказа при входе в систему в этих категориях могут быть более тяжелыми — пользователь может вызвать отказ в работе служб, если журнал безопасности заполнен.
Будьте точны при настройке аудита для объекта
Для аудита доступа к объектам необходимо включить параметр политики Аудит доступа к объектам в системной таблице управления доступом (SACL), связанной с объектом.
Для повышения производительности следует уменьшить число записей в SACL для объекта. 1000 отдельных записей в SACL снижают производительность системы больше, чем одна запись, содержащая 1000 пользователей.
Чтобы снизить количество событий и увеличить эффективность каждого события, аудит следует проводить только для действительно важных действий. Например, для занесения событий чтения файла пользователями в журнал не следует проводить аудит полного доступа.
Установите соответствующий размер журнала безопасности
Размер журнала безопасности важно установить в соответствии с количеством событий, которое зависит от настроек политики аудита. 

Советы и рекомендации по аудиту событий безопасности