В Windows Server 2008 (Vista) появился новый функционал, позволяющий привязать задание планировщика к любому событию в журналах системы. Благодаря этой возможности администратор может на любое событие Windows назначить выполнение определенного скрипта или отправку оповещения по электронной почты. Разберемся с этой возможностью подробнее.

Возможность запуска задач при наступлении определенных событий Windows основана на тесной интеграции Task Scheduler и Event Viewer . Назначить задание планировщика на любое событие Windows можно прямо из консоли журнала просмотр события (Event Viewer). В качестве реакции на произошедшее событие планировщик может запустить скрипт или отправить почтовое уведомление администратору (или любому другому пользователю).

Допустим, наша задача – настроить оповестить администратора безопасности о блокировке учетной записи пользователя в Active Directory.

Совет . Мы выбрали это события для наглядности. На самом деле спектр применения этого функционала довольно широк. Это могут быть, к примеру, оповещения об остановке определенной службы Windows, запуск определенной программы по завершению , оповещение или и т.п.

Событие отмечается на контроллере домена в журнале Security (Безопасность). Event ID события блокировки – 4740 . Открываем консоль журнала событий Windows (Event Viewer — eventvwr.msc ) и ищем интересующее нас событие. Щелкаем по нему ПКМ и выбираем пункт Attach Task To This Event (Прикрепить задачу к этому событию).

Запускается мастер создания нового задания планировщика. Мастер предложит указать имя задания. Оно генерируется автоматически — и нас устраивает.

На следующем шаге указаны вид журнала событий, источник и Event ID события (все поля заполняются автоматически и не доступны для редактирования на этом шаге).

Далее предлагается выбрать тип реакции на событие. Возможны следующие варианты:

• Start a program – запуск программы (скрипта)
• Send an e-mail – отправка почтового уведомления
• Display a message – отображение сообщения в консоли

Нас интересует оповещение по Email. Указываем отправителя, получателя, адрес SMTP сервера, тему и текст письма.

На последнем шаге мастера можно посмотреть получившиеся настройки триггера. В результате в планировщике задач появится новое задание, привязанное к нашему событию. Откроем консоль Task Scheduler (в Administrative Tools). Созданное задание можно найти в разделе Task Scheduler Library -> Event Viewer Tasks .

Здесь же можно изменить настройки триггера события и принудительно его запустить, протестировав реакцию на событие.

Совет . Если нужно один триггер привязать к множеству EventID, их нужно указывать через запятую.

Триггер является активным. Теперь при блокировке любой учетной записи AD – на указанный email будет отправляться письмо с уведомлением.

Примечание . Аналогичный функционал в Windows Server 2003 и более ранних версиях Windows реализовывался с помощью консольной утилиты — eventtriggers.exe . Данная утилита также позволяла отслеживать события в журналах системы и «вешать» на определенные события триггеры. Для нашего пример, когда к событию 4740 нужно привязать выполнение скрипта или , который отправляет письмо на ящик администратора, команда может быть такой:

eventtriggers /create /TR “Lock Account” /TK “C:\WINDOWS\system32\windowspowershell\v1.0\powershell.exe c:\script\SendEmail.ps1″ /L Security /EID 4740

Такое уведомление не очень информативно, и для просмотра подробной информации о событии приходится открывать журнал Event Viewer. Попробуем прикрепить к письму данные из журнала событий. В этом нам поможет утилита wevtutil, позволяющая выгрузить из журналов Windows информацию о любом событии. Так, чтобы получить данные о последнем событии с кодом 4740 из журнала Security, нужно выполнить:

wevtutil qe Security /q:"*]" /f:text /rd:true /c:1

Создадим скрипт (query.cmd) из двух строчек: первая удаляет старый файл с логом, вторая – выгружает из журнала последнее событие и сохраняет его в файл лога:

del c:\script\query.txt
wevtutil qe Security /q:"*]" /f:text /rd:true /c:1 > c:\script\query.txt

Осталось еще раз открыть настройки созданного ранее триггера в журнале планировщика задач. На вкладке Actions добавим новое действие – запуск скрипта query.cmd. Затем нужно изменить порядок выполнения действий, перенесем его вверх списка с помощью стрелок справа (скрипт должен выполняться первым).

Далее отредактируем второе действие – отправку электронного письма, выбрав в качестве вложения к письму файл c:\script\query.txt .

Примечание . В нашем примере, чтобы задание заработало корректно, нужно запускать его с повышенными привилегиями. Для этого в его настройках нужно установить галку Run with highest privileges .

Протестируем задание еще раз. Теперь на почту администратора будет приходить уведомление со вложением, в котором указан данные о имени заблокированной учетной записи, времени блокировке и другой полезной информацией.

Совет . Использование функционала триггеров событий Window для оповещения администратора о критичных проблемах на серверах не является полноценной заменой системы мониторинга, такой как System Center Operations Manager и Zenoss. Однако как простое встроенное средство мониторинга и оповещения для малого бизнеса, не требующего вложений во внедрение и обучение персонала, вкупе с возможностью консолидации логов сразу с нескольких серверов (), оно вполне юзабельно.

Привязка заданий планировщика к событиям в журналах систем работает во всех версиях Windows, начиная с Windows Server 2008 / Vista. Этот функционал позволяет быстро оповестить администратора о возникновении определенных проблем с серверов и отреагировать на них.

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Инструкция

Для отключения журнал а событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий » (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Здравствуйте Друзья! В этой статье рассмотрим журнал событий Windows 7 . Операционная система записывает практически всё, что с ней происходит в этот журнал. Просматривать его удобно с помощью приложения Просмотр событий, которое устанавливается вместе с Windows 7 . Сказать что записываемых событий много — ничего не сказать. Их тьма. Но, запутаться в них сложно так как все отсортировано по категориям.

Благодаря журналу событий специалистам и простым пользователям гораздо легче найти ошибки и исправить ее. Говоря легче я не имел в виду легко. Практически всегда для исправления повторяющейся ошибки придется сильно пользоваться поиском и перечитать кучу материала. Иногда это стоит того, чтобы избавиться от нестандартного поведения операционной системы.

Чтобы операционная система успешно заполняла журналы событий необходима чтобы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню Пуск ищем Службы

Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически

Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК

Служба запущена и журналы событий начнут заполняться.

Запускаем утилиту Просмотр событий воспользовавшись поиском из меняю Пуск

Утилита по умолчанию имеет следующий вид

Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа

Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра

Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой мышкой и выбираем Добавить или удалить столбцы…

В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля

Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов . Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Журналы событий

Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.

У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства

В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт

Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.

В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.

Работа с журналами событий Windows 7

Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.

Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу

Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для проводника Windows . Ограничения в невозможности выполнить сортировку более чем по одному столбцу.

Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой мышки и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень

В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).

Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.

Очистка журнала

Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, чтобы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…

В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением

Настраиваемые представления

Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.

Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой мышки и выбираем Создать настраиваемое представление…

В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события

В разделе Уровень события ставим галочки для выбора важности событий.

Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки

Можно выбрать определенные коды событий чтобы они показывались или не показывалась в созданном вами представлении.

Когда все параметры представления выбрали жмем ОК

В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК

Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность

Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…

В открывшемся окошке делаем дополнительные настройки в представлении.

Можно провести аналогию Настраиваемого представления с сохраненными условиями поиска в проводнике Windows 7.

Заключение

В этой статье мы рассмотрели журнал событий Windows 7. Рассказали про практически все основные операции с ним для удобства нахождения событий об ошибках и критических событий. И тут возникает закономерный вопрос — «А как же исправлять эти ошибки в системе». Здесь все сильно сложнее. В сети информации мало и поэтому возможно придется затратить уйму времени на поиск информации . Поэтому, если работа компьютера в целом вас устраивает, то можно этим не заниматься. Если же вы хотите попробовать поправить смотрите видео ниже.

Так же с помощью журнала событий можно провести диагностику медленной загрузки Windows 7 .

Буду рад любым комментариям и предложениям.

Из четырех предыдущих статей, которые посвящены локальным политикам безопасностям, вы уже научились многим методам обеспечения безопасности рабочих мест ваших пользователей. Вы знаете, как можно задать ограничения на пароли учетных записей, управлять политиками аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей, а также научились определять, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Почти всю информацию об ошибках, произошедших на компьютерах пользователей вашей организации можно узнать из журналов событий. С оснасткой «Просмотр событий» вы можете ознакомиться из , посвященных данному средству. В этой статье вы узнаете о централизованном управлении настроек журналами событий компьютеров вашей организации, используя локальные политики безопасности.

Политики журналов событий

Задать настройки журналов событий вы можете при помощи четырех политик безопасности, предназначенных для трех основных журналов - журнала безопасности, журнала приложений, а также системного журнала. Ниже вы узнаете обо всех локальных политиках безопасности, используя которые вы можете управлять журналами событий ваших пользователей. Для того чтобы перейти к настройке политик журналов событий, в редакторе управления групповыми политиками откройте узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Журнал событий . Политики журналов событий вы можете увидеть на следующей иллюстрации:

Рис. 1. Узел «Журнал событий»

Рассмотрим подробно каждую политику данного узла:

Запретить доступ для локальной группы гостей к журналу безопасности . Данная политика безопасности может быть применена только к операционным системам, которые предшествуют Windows Vista. Применяется данная политика с целью ограничения локальной группы гостей, использующих анонимный вход в систему для журнала безопасности в операционных системах Windows XP и Windows 2000

Запретить доступ для локальной группы гостей к журналу приложений . Действия этой политики безопасности аналогичны политике «Запретить доступ для локальной группы гостей к журналу безопасности» . Эта политика отличается от предыдущей только тем, что используя параметры текущей политики, вы можете ограничить гостевых пользователей в доступе к журналу «Приложения» . По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP - включена.

Запретить доступ для локальной группы гостей к системному журналу . Текущая политика безопасности также как и две предыдущих политики, позволяет пользователям операционных систем Windows XP и Windows 2000 запрещать локальным гостям с анонимным входом в систему иметь доступ к журналу «Система» . По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP - включена.

Максимальный размер журнала безопасности . В одной из статей посвященных управлению журналами событий я рассказывал о том, как вы можете изменить максимальный размер различных журналов при помощи графического интерфейса или командной строки. Если вам нужно указать максимальный размер определенного журнала для целой группы пользователей, то вы можете упростить себе эту задачу и воспользоваться текущей политикой безопасности. Эта политика безопасности позволяет указывать максимальный размер журнала «Безопасность». Максимальный размер журнала может достигать 4 Гб, но обычно указывают максимальный размер не более 500 Мб. Ограничение размера журнала безопасности может привести к затиранию важных событий, так как по достижению порогового объема, у вас будут удаляться самые старые события, и вместо них будут записываться новые. Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Обычно, есть смысл увеличивать размер журнала событий только в том случае, если есть необходимость в тщательной обработке событий безопасности и сохранении журнала на протяжении длительного периода времени. По умолчанию в операционной системе Windows 7 и Windows Vista размер журнала безопасности составляет 20 Мб, в Windows Server 2008 и Windows Server 2008 R2 - 128 Мб, для операционных систем Windows Server 2003 - 16 Мб, а Windows XP - 8 Мб.

Максимальный размер журнала приложений . Настройки этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать максимальный размер журнала «Приложения» для компьютеров и пользователей на которых будет распространена область действия объекта групповой политики.

Максимальный размер системного журнала . От предыдущих двух политик безопасности данная политика отличается лишь тем, что она отвечает за максимальный размер журнала «Система» .

Метод сохранения событий в журнале безопасности . Данная политика безопасности напрямую связана с политиками и в связи с тем, что эта политика отвечает за перезапись журнала безопасности по превышению установленного лимита на размер. Для вас доступно одно из трех значений. При выборе значения «Затирать события по необходимости» , по истечению свободного места в журнале, все старые события будут удаляться, и перезаписываться новыми. Обычно это значение используется в том случае, если у вас нет необходимости в архивировании событий указанного журнала. Значение «Затирать события по дням» целесообразно использовать в том случае, если у вас выполняется архивирование журнала по заданному промежутку времени, которое указывается при помощи политики «Сохранять события в журнале безопасности» . В этом случае будут удаляться все события в данном журнале по истечении указанного срока. Также в этом случае стоит обратить внимание на то, чтобы максимальный размер журнала позволял вам сохранять все события за указанный промежуток времени. Значение обычно используется в том случае, когда есть необходимость в сохранении всех событий непосредственно в журнале. Но стоит учесть, что после того как журнал достигнет максимального размера, все новые события будут просто отклоняться.

Метод сохранения событий в журнале приложений . Параметры этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать настройки сохранения событий для журнала «Приложения»

Метод сохранения событий в системном журнале . Эта политика безопасности предназначена для настройки сохранения событий в журнале «Система» .

Сохранять события в журнале безопасности . Текущая политика безопасности определяет, как долго могут сохраняться события в журнале «Безопасность» в том случае, если для политики указано значение «Затирать события по дням» . Помимо этого вам нужно убедиться в том, что размер вашего журнала позволяет сохранять события за указанный промежуток времени, так как после достижения журналом максимального размера, все новые события будут просто отклоняться.

Сохранять события в журнале приложений . Эта политика безопасности предназначена для определения количества дней, на протяжении которых в журнале «Приложения» будут сохраняться события.

Сохранять события в системном журнале . Параметры этой политики безопасности идентичны настройкам предыдущих двух политик за исключением того, что здесь вы можете указать период времени хранения событий для журнала «Система» компьютеров и пользователей, на которых будет распространена область действия объекта групповой политики.

Примеры использования политик журналов событий

Разберемся с настройками политик безопасности журналов событий на живом примере. В этом примере мы определим настройки журналов событий «Приложения» , «Безопасность» и «Система» для группы «Бухгалтерия» организации. Предположим, что в вашем отделе бухгалтерии все компьютеры оснащены операционными системами Windows Vista и Windows 7, в связи с чем, параметры политики «Запретить доступ для локальной группы гостей к журналу …» не будут задействованы. Выполните следующие действия:

1. На контроллере домена создайте группу безопасности «Бухгалтерия» и поместите ее в подразделение «Группы» ;
2. Откройте консоль , где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
3. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите , после чего нажмите кнопку «ОК» ;
4. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить» , как показано на следующей иллюстрации:
   

   

   Рис. 2. Изменение «Политики журналов событий для отдела бухгалтерии»

5. В появившемся окне разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Журнал событий и выберите политику «Максимальный размер журнала безопасности» ;
6. В диалоговом окне «Свойства: Максимальный размер журнала безопасности» установите флажок и в соответствующем текстовом поле установите значение в 30 МБ, что равняется 30720 КБ, как показано ниже:
   

   

   Рис. 3. Настройка максимального размера журнала безопасности

7. Предположим, что в отделе безопасности установлены надежные пароли, назначены все необходимые права для пользователей этой группы и у вас нет необходимости в аудите журналов безопасности этого отдела. Откройте свойства политики «Метод сохранения событий в журнале безопасности» . В диалоговом окне свойств политики установите флажок «Определить следующий параметр политики» и выберите значение «Затирать старые события по необходимости» . Теперь, по достижении 30 Мб самые старые события в журналах безопасности отдела бухгалтерии будут перезаписываться новыми;
   

   

   Рис. 4. Настройка метода сохранения событий в журнале безопасности

8. Для журналов приложений группы бухгалтерии регистрируется не очень много событий, поэтому в настройках политики «Максимальный размер журнала приложений» укажем значение 25600 КБ, что равняется 25 МБ;
9. Вы не хотите, чтобы журнал «Приложения» для отдела бухгалтерии вашей организации перезаписывался, но не ведете его архивацию. Допустим, вы периодически его просматриваете и очищаете вручную. Для этого в политике «Метод сохранения событий в журнале приложений» установите значение «Не затирать события (чистка журнала вручную)» . Но вам необходимо учесть, что если вы не будете самостоятельно чистить данный журнал, то, в конечном счете, новые события не будут фиксироваться в журналах приложений отдела бухгалтерии;
10. Последний журнал, который вам предстоит настроить - это журнал «Система» . В политике «Максимальный размер системного журнала» установите размер 20 МБ, что является 20480 КБ;
11. По требованиям безопасности вашей организации вам необходимо создавать архивные копии системных журналов для всех групп безопасности. Поэтому в политике «Метод сохранения событий в системном журнале» выберите значение «Затирать старые события по дням» . По нажатию на кнопку «ОК» перед вами будет отображен диалог «Предлагаемые изменения значений» , в котором указывается, что для политики «Сохранять события в системном журнале» будет установлено значение 7 дней. Это значение как раз соответствует требованиям по архивации системного значения и по нажатию закрытия данного диалога не будет необходимости в редактировании этой политики безопасности;
    

    

    Рис. 5. Предлагаемые изменения значений политики «Сохранять события в системном журнале»

12. По окончанию настроек политик журналов событий, содержимое оснастки «Редактор управления групповыми политиками» будет выглядеть следующим образом:
    

    

    Рис. 6. Настроенные политики журналов событий

    Закройте данную оснастку.

13. После закрытия оснастки «Редактор управления групповыми политиками» вам нужно привязать отредактированный объект групповой политики к группе безопасности «Бухгалтерия» . Для этого в оснастке «Управление групповой политикой» выберите контейнер «Группы» , нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики…» . В диалоговом окне «Выбор объекта групповой политики» выберите объект «Политики журналов событий для отдела бухгалтерии» и нажмите на кнопку «ОК» ;
    

    

    Рис. 7. Выбор привязываемого объекта групповой политики

14. Разверните подразделение «Группы» , выберите объект «Политики журналов событий для отдела бухгалтерии» и на вкладке «Область» , и в области «Фильтры безопасности» удалите фильтр «Прошедшие проверку» . После этого нажмите на кнопку «Добавить» и выберите группу «Бухгалтерия» , которая заранее была создана;
15. Перейдите на клиентские машины и обновите групповые политики, используя команду Gpupdate ;

Заключение

В этой статье я продолжил описание локальных политик безопасности, которые помогут максимально защитить клиентские компьютеры вашей организации средствами групповых политик. Вы узнали о настройках политик журналов событий, при помощи которых вы можете задавать максимальный размер, выбирать метод сохранения событий, а также определять период времени, на протяжении которого события будут сохраняться в трех основных журналах. В предоставленном примере была проиллюстрирована процедура применения данных политик. В следующей статье вы узнаете о назначении параметров безопасности политик групп с ограниченным доступом, системных служб, реестра, а также файловой системы.

Запись событий в журнал доступна только для операций с файлами на съемных дисках.

Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

1. Откройте окно настройки параметров программы .
2. В левой части окна в разделе Контроль безопасности выберите подраздел Контроль устройств .

   В правой части окна отобразятся параметры компонента Контроль устройств.

3. В правой части окна выберите закладку Типы устройств .

   На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. Выберите в таблице устройств Съемные диски .

   В верхней части таблицы станет доступной кнопка Запись событий в журнал .

5. Нажмите на кнопку Запись событий в журнал .

   Откроется окно .

6. Выполните одно из следующих действий:
   • Если вы хотите включить запись событий об операциях записи и удаления файлов на съемных дисках, установить флажок .

     Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.

   • В противном случае снимите флажок Включить запись событий в журнал .
7. Укажите, информация о каких операциях должна записываться в журнал. Для этого выполните одно из следующих действий:
   • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал все события, установите флажок Сохранять информацию обо всех файлах .
   • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал только информацию о файлах определенного формата, в блоке Фильтр по форматам файлов установите флажки напротив нужных форматов файлов.
8. Укажите, о действиях каких пользователей Kaspersky Endpoint Security будет формировать события журнала. Для этого выполните следующие действия:
   1. В блоке Пользователи нажмите на кнопку Выбрать .

      Откроется стандартное окно Microsoft Windows Выбор пользователей или групп .

   2. Задайте или измените список пользователей и / или групп пользователей.

   Когда пользователи, указанные в блоке Пользователи , будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять сообщение на Сервер администрирования Kaspersky Security Center.

9. Нажмите на кнопку ОК в окне Параметры записи событий в журнал .
10. Нажмите на кнопку Сохранить , чтобы сохранить внесенные изменения.

Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События . Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

Справочники