Организация аудита журналов событий . Теперь ситуация изменилась. Многие администраторы глубоко погружены в процессы аудита и вынуждены тратить значительную долю своих небольших бюджетов на приобретение средств аудита безопасности. Чтобы получить ответы на базовые вопросы, касающиеся безопасности сети, администраторам приходится выуживать сведения из бесчисленных журналов событий. Аудит журналов событий является трудоемким и утомительным, но очень важным процессом. К сожалению, очень многие пока еще не приучились регулярно сохранять журналы событий. Из- за этого при необходимости формирования отчетов часто приходится довольствоваться неполными данными, что негативно сказывается на качестве отчета. Для начала следует попробовать создать систему сохранения журналов событий и придумать простой и удобный способ для генерации отчетов по этим журналам событий. В этой статье будет рассказано об организации автоматического сохранения журналов событий безопасности в текстовом формате для дальнейшей обработки и будет представлен сценарий для создания отчета о регистрации и завершении сеансов пользователей в системе по учетной записи и диапазону дат. ![]() Ps. Log. List. Широко известен набор утилит Ps. Tools, которые можно загрузить с сайта www. Одной из этих утилит, Ps. Log. List, я решил воспользоваться для сохранения снимков журнала событий безопасности в формате CSV с удаленных компьютеров Windows XP, Windows 2. Windows NT. Формат CSV идеально подходит для обработки с помощью сценариев, для разбора и обработки файлов CSV можно даже использовать простой цикл For командного интерпретатора Windows NT. Общий синтаксис вызова Ps. Log. List для сохранения журнала событий в файл. Ps. Log. List - s Так, следующая команда. Ps. Log. List - s My. Сохранение простого текста в формат TXT. Если нужного формата в списке нет, выберите пункт Сохранить в других форматах Скачать книги в формате txt Каждый пользователь интернета хотя бы раз попадал на страницы онлайн библиотек. Тот, кто задержался там надолго. Их читать онлайн или же бесплатно скачать в любом из выбранных форматов : txt, jar и zip. ЖУРНАЛ ЕСЛИ -10 2007 г., читать, скачать txt, zip, jar. Читайте без дополнительной оплаты на сайте its.1c.ru или приобретайте в удобном формате. Книги и журналы в электронном виде распространяются следующими способами. ![]() Скачать электронные книги в формате txt бесплатно, читать книги онлайн жанра Журналы, газеты. Размер: 1578 кб Автор: Бережной Сергей Формат: txt Просмотров: 3096 . PDC security pdclog. My. PDC в файл pdclog. Следует иметь в виду, что при первом запуске исполнение команды может занять значительное время, но если запускать Ps. Log. List ежедневно, задержка не будет очень большой. Info- ZIPПри ежедневном запуске Ps. Log. List получаемые файлы снимков журнала со временем накапливаются в огромном количестве, так что было принято решение сгруппировать их помесячно и сжать в архивы zip. У каждого, кто занимается разработкой сценариев, есть любимая утилита для работы с архивами Zip. Для данной задачи благодаря простоте использования была выбрана бесплатная утилита Info- ZIP. Утилиты Zip и Un. Zip можно загрузить с сайта со страниц http: //www. Если для работы с архивами Zip вы решите использовать другие утилиты, вам потребуется внести незначительные изменения в параметры командной строки для формирования архивов. Log. Dump. cmd. Первым шагом к построению системы аудита событий регистрации и завершения сеанса logon/logoff будет создание ежедневных снимков журналов безопасности для всех контроллеров домена. ![]() Для автоматизации этого процесса был разработан сценарий Log. Dump. cmd, представленный в листинге 1. Хотя сценарий можно настроить для работы на любом компьютере под управлением Windows 2. Windows NT, для простоты представлен вариант для небольшой сети Windows NT с одним первичным и одним резервным контроллерами домена (PDC и BDC). Чтобы сделать сценарий универсальным для работы с любым количеством серверов, можно указать список серверов в переменной serverlist, значения в которой перебираются в цикле For, в котором запускаются программы Ps. Скачать книги в формате txt Каждый пользователь интернета хотя бы раз попадал на страницы онлайн библиотек. Тот, кто задержался там надолго, . ЖУРНАЛ ЕСЛИ -10 2007 г., читать, скачать txt, zip, jar. Log. List и Info- ZIP для каждого из серверов сети. В нашем примере пакетный файл Log. Dump. cmd сохраняет снимок журналов безопасности на PDC и BDC, и сохраняет результаты на каждом из серверов в каталоге C: logsseclogs. Если указанный каталог на сервере не существует, сценарий создает этот каталог с помощью команды MD (см. Фрагмент А кода сценария считывает текущую системную дату, выделяет элементы число, месяц, год и сохраняет значения для формирования имени файла и имени архива. Команда date /t возвращает текущую дату в формате Tue 0. Редакции: на компьютерах Windows 2. Windows XP с региональными установками для России date /t выдает дату в формате дд. ![]() Далее сценарий выполняет команду For, чтобы разбить дату по разделителю «/» на элементы. По завершении выполнения фрагмента А переменная filedate имеет значение 0. В Windows 2. 00. 0 вместо команды date /t можно воспользоваться командой echo %date%. После того, как имена файлов сформированы, Log. Dump. cmd выполняет команду Ps. Log. List для сохранения снимка журнала безопасности Security. Следует включить в планировщик ежедневное выполнение этого сценария, чтобы обеспечить сохранение полной информации в удобном для анализа формате. Log. Dump. cmd выполняет экспорт журнала безопасности в формате CSV и, чтобы избежать дублирования информации при последующих запусках программы, очищает журнал безопасности. Для этого используются ключи программы Ps. Log. List - s - использование формата CSV и - c очистить журнал после выполнения экспорта, как видно из фрагмента кода С листинга 1. В выдаваемом командой Ps. Log. List файле содержится также заголовок, который помешал бы при построении отчета о регистрации пользователей в сети (этот сценарий будет представлен в следующей статье). Чтобы удалить этот заголовок, результат работы утилиты Ps. Log. List передается на вход команде Find, которая удаляет все строки, не содержащие символ запятой. Эта операция выполняется фрагментом С сценария. Полученный результат сохраняется на сервере в файле C: logsseclog. Поэтому все сохраненные журналы безопасности архивируются в ежемесячный и ежегодный архив, как показывает фрагмент D. Ключ - j сообщает Info- ZIP не сохранять в архивном файле имя каталога при добавлении текстовых файлов в архив, ключ - m указывает, что после архивирования текстовый файл должен быть удален. Все рабочие файлы, создаваемые сценарием, имеют расширение . Поскольку сценарий перемещает в архив zip все найденные в каталоге текстовые файлы, после исполнения Log. Dump. cmd в каталоге остаются только файлы ежемесячных архивов zip. Если в вашей сети запрещено открывать совместный доступ к дискам (т. Эти отчеты могут использоваться для широкого круга задач, от подсчета времени, проведенного сотрудником на рабочем месте до обнаружения подозрительной сетевой активности. Алгоритм формирования подобных отчетов для определенной учетной записи пользователя можно описать следующим образом: сбор журналов аудита безопасности за требуемый интервал времени. Однако написание надежного сценария для автоматизации этой работы может оказаться не таким простым делом. Снимки журналов сохраняются в файлы в формате CSV, которые помещаются в ежемесячные архивы . Рассмотрим теперь сценарий Logonlogoff. При этом сценарий Logonlogoff. Log. Dump. cmd. В сценарии Logonlogoff. Un. Zip), после чего происходит обработка и построение отчета. Требования. Прежде чем начинать разработку кода необходимо принять во внимание требования и ограничения, предъявляемые к процессу обработки данных. Во- первых, необходимо обрабатывать только архивы . Log. Dump. cmd. До этого необходимо убедиться, что Log. Dump. cmd ежедневно выполняется на контроллерах домена и соблюдены все соглашения об именовании файлов. Сценарий должен иметь возможность обрабатывать архивные снимки журнала безопасности на компьютерах Windows NT и Windows 2. Сценарий должен позволять указывать начальную и конечную дату отчета с учетом различного количества дней в месяцах и високосных годов. Наконец, сценарий должен выдавать отчет только для одного пользователя. Определение високосного года. При составлении отчета может быть указан любой отрезок времени, который может захватывать несколько месяцев или даже лет, так что сценарий формирования отчета о регистрации пользователя в сети и должен корректно обрабатывать даты. Одни месяцы в году состоят из 3. Как все, наверное, помнят, високосным является год, делящийся нацело на 4, кроме делящихся нацело на 1. К сожалению, командный интерпретатор Windows NT и Windows 2. Обходное решение заключается в том, что при целочисленном делении остаток отбрасывается, т. Ниже приведен псевдокод для определения, кратно ли число четырем. Командный интерпретатор позволяет вычислять арифметические выражения с помощью команды Set с ключом /a. Фрагмент E листинга 2 определяет, является ли год високосным, для чего выполняется проверка делимости года на 4, 4. Сценарий Logonlogoff. Сценарий Logonlogoff. Set serverlist=определяющей имена серверов, на которых хранятся обрабатываемые журналы безопасности. Далее сценарий создает подкаталог logonlogoff в каталоге %temp% для хранения рабочих файлов, имя рабочего каталога сохраняется в переменной logonlogofftemp для дальнейшего использования. Далее во фрагменте А выполняется присваивание переменным значений параметров командной строки, в том числе начальной и конечной дат (для дат используется формат mm/dd/yyyy), имени пользователя, для которого будет построен отчет (именно с это имя будет иметь файл отчета) и тип файла журнала - Windows 2. Windows NT, поскольку файлы журналов в этих операционных системах имеют некоторые отличия в формате и должны обрабатываться чуть по- разному. Потом сценарий определяет текущий год с помощью команды date /t (на серверах Windows 2. Далее из строки текущей даты выбирается значение года (третий элемент строки даты с разделителем /), которое сохраняется в переменной curr. Для этого выполняется разбиение дат на год, месяц и день, полученные значение сохраняются в переменных, а затем выполняются сравнения. В цикле For происходит разбиение дат на элементы по символам разделителя прямая и обратная косая (/ и ). Эта операция соответствует фрагменту кода B. При этом автоматически происходит проверка, что даты указаны в формате mm/dd/yyyy (поскольку символом разделителем является прямая косая /, то если использован формат mm- dd- yyyy, при разборе строки даты значения дня и года окажутся не определены). Даты в сценарии хранятся разбитыми на день, месяц и год для упрощения операций сравнения дат. После разбиения дат на элементы выполняется проверка, что конечная дата следует за, а не предшествует начальной дате, в противном случае входные данные считаются противоречивыми и построение отчета не выполняется.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
December 2016
Categories |