Автоматическая обработка результатов аудита

  Обработка журналов аудита вручную не является безальтернативной. Существует целый ряд средств анализа журнала событий; некоторые из них ориентированы на журнал Безопасность (Security), используемый для аудита. Большинство этих средств предназначены для крупных компаний и включают сложные функции. Примером служит программа LogCaster производства компании Ripple- Tech. Еще одним стоящим продуктом является пакет Monitor-Magic. Он обладает более полным набором функций, однако не имеет бесплатных версий.
  Инструмент, рассмотрением которого мы займемся в этом разделе, — это программа EventReader производства компании WELAMT Software. Эта условно-бесплатная программа позволяет вести наблюдение за журналами событий, главным образом, относящихся к аудиту. Ее возможности не столь широки, как у других инструментов, упомянутых в этой статье, однако их вполне достаточно для большинства мелких и многих средних компаний.
Программу EventReader следует использовать в паре с ODBC-совместимой базой данных, например, Microsoft Access или Microsoft SQL Server. Теоретически этот продукт работает и с другими источниками данных ODBC, однако указанные СУБД наиболее предпочтительны.
  Для начала запустите EventReader командой Пуск ► Программы ► Event Reader ► EventReader (Start ► Programs ► Event Reader ► EventReader). Первая задача — создать источник данных. Если при установке EventReader в качестве образца вы выбрали базу данных Microsoft Access, то вы готовы к работе. Фактически, это лучший выбор для экспериментов с утилитой, поскольку образец базы данных Microsoft Access предлагает множество форм и отчетов, позволяющих наблюдать за обработкой данных. В противном случае после запуска EventReader создайте источник данных ODBC при помощи команды ODBC Data Source ► Create New, а затем — таблицы для хранения информации журнала событий в базе данных командой ODBC Data Source ► Create Tables. Вы получите доступ ко многим пунктам меню, ранее недоступным.
  После этого вы можете заняться сбором данных для базы данных. В вашем распоряжении есть несколько методов. Например, вы можете настроить EventReader на работу с «живыми» журналами и получать данные в реальном времени, или собирать информацию с нескольких компьютеров. В этом разделе я буду исходить из того, что вы подготовили данные аудита в виде EVT-файла (вопросы сохранения журнала событий на жестком диске рассмотрены в разделе «Ручная обработка результатов аудита»). Импорт в базу данных выполняется следующим образом:
1. Выполните команду Event Logs Gathering ► Read From Archive File. На экране появится диалоговое окно Settings for Reading Event Log from Archive File.
2. Щелкните на кнопке Select, чтобы выбрать базу данных в открывшемся диалоговом окне Select ODBC Data Source.
3. Щелкните на кнопке Verify, чтобы проверить возможность доступа к базе данных. Если доступ разрешен, EventReader выведет сообщение об этом.
4. Перейдите на вкладку Archive. Введите имя и путь к архивному файлу в поле Archive File to Read. Вы также можете щелкнуть на кнопке с многоточием, расположенной под этим полем, и выбрать нужный файл с помощью диалогового окна Open Event Log Archive.
5. Выберите тип журнала событий. Поскольку мы работаем с журналом Безопасность (Security), укажите его.
6. Щелкните на кнопке ОК. Вам может показаться, что ничего не происходит, однако на самом деле в этот момент EventReader считывает файл журнала в базу данных.
  Будем считать, что вы храните информацию в базе данных. Чтобы отобразить эту информацию на экране, воспользуйтесь командой Пуск ► Программы ► Event Reader ► Sample Database (Start ► Programs ► Event Reader ► Sample Database). Обратите внимание, что интерфейс базы данных, созданный разработчиком, отличается от стандартного интерфейса Microsoft Access. Если бы вы создавали собственную базу данных, EventReader не предоставил бы вам подобного интерфейса; вам нужно самому заботиться о том, как обрабатывать данные.
  Вы можете вывести на экран либо все события, либо только события определенных типов. Чтобы воспользоваться журналами событий в целях оптимизации, как правило, необходимо создать фильтр. К счастью, база данных позволяет быстро решить эту задачу. Щелкните на кнопке View All Events, соответствующей журналу Безопасность (Security). Вы увидите список всех событий, связанных с безопасностью. Щелкните на кнопке Objects, и на экране появится список объектов журнала Безопасность (Security).

  Чтобы выбрать объект, выделите его и щелкните на кнопке Filter. Вы увидите список событий объекта (в данном случае, приложения), которыми вы можете воспользоваться для оптимизации системы. Разумеется, существуют и другие применения для фильтрации данных. Ваш выбор зависит от того, какую информацию вы собирали в процессе аудита и как вы хотите использовать ее для оптимизации. Цель фильтрации — обеспечить быстрый поиск нужной информации, поскольку при аудите происходит ее интенсивная генерация. Чтобы убрать с экрана все записи, щелкните на кнопке закрытия в правом верхнем углу окна.

  EventReader предлагает множество стандартных отчетов. Доступ к этим отчетам осуществляется щелчком на кнопке Reports главной формы. Как правило, в плане оптимизации отчеты EventReader менее полезны, чем другие средства для работы с журналами событий, поскольку не поддерживают фильтрацию. Тем не менее, отчеты можно использовать для воспроизведения содержимого журналов, а также как основу для собственных отчетов, помогающих быстро оптимизировать систему.