ВУЗ:
Составители:
257
Аудит приводит к дополнительной нагрузке на систему, по-
этому необходимо регистрировать лишь события, действительно
представляющие интерес.
Windows NT записывает события в три журнала:
• Системный журнал (system log) содержит сообщения об
ошибках, предупреждения и другую информацию, исходящую от
операционной системы и компонентов сторонних производите-
лей. Список событий, регистрируемых в этом журнале, предо-
пределен операционной системой и компонентами сторонних
производителей и не может быть изменен пользователем. Журнал
находится в файле Sysevent.evt.
• Журнал безопасности (Security Log) содержит информа-
цию об успешных и неудачных попытках выполнения действий,
регистрируемых средствами аудита. События, регистрируемые в
этом журнале, определяются заданной вами стратегией аудита.
Журнал находится в файле Secevent.evt.
• Журнал приложений (Application Log) содержит сообще-
ния об ошибках, предупреждения и другую информацию, выда-
ваемую различными приложениями. Список событий, регистри-
руемых в этом журнале, определяется разработчиками приложе-
ний. Журнал находится в файле Appevent.evt.
Все журналы размещены в папке %Systemroot%\System32\
Config.
При выборе событий для проведения аудита следует учиты-
вать возможность переполнения журнала. Для настройки журна
-
ла используйте диалоговое окно Event Log Settings (рис. 4.6).
Рис. 4.6
257
Аудит приводит к дополнительной нагрузке на систему, по-
этому необходимо регистрировать лишь события, действительно
представляющие интерес.
Windows NT записывает события в три журнала:
• Системный журнал (system log) содержит сообщения об
ошибках, предупреждения и другую информацию, исходящую от
операционной системы и компонентов сторонних производите-
лей. Список событий, регистрируемых в этом журнале, предо-
пределен операционной системой и компонентами сторонних
производителей и не может быть изменен пользователем. Журнал
находится в файле Sysevent.evt.
• Журнал безопасности (Security Log) содержит информа-
цию об успешных и неудачных попытках выполнения действий,
регистрируемых средствами аудита. События, регистрируемые в
этом журнале, определяются заданной вами стратегией аудита.
Журнал находится в файле Secevent.evt.
• Журнал приложений (Application Log) содержит сообще-
ния об ошибках, предупреждения и другую информацию, выда-
ваемую различными приложениями. Список событий, регистри-
руемых в этом журнале, определяется разработчиками приложе-
ний. Журнал находится в файле Appevent.evt.
Все журналы размещены в папке %Systemroot%\System32\
Config.
При выборе событий для проведения аудита следует учиты-
вать возможность переполнения журнала. Для настройки журна-
ла используйте диалоговое окно Event Log Settings (рис. 4.6).
Рис. 4.6
