ثبت رخدادها در کنسول Event Viewer ویندوز

سیستم عامل ویندوز دارای سامانه ای است بنام Event viewer که در واقع یک ابزار قدرتمند Audit ( بازرسی یا ثبت وقایع) و مانیتورینگ اتفاقات کامپیوتر یا کامپیوترهای شبکه است. توسط این سامانه میتوان log های مربوط به کلیه وقایع امنیتی را ثبت کرد و آنها را زیرنظر گرفت.

آشنایی با عملکرد Audit

سیستم عامل ویندوز دارای سامانه ای است بنام Event viewer که در واقع یک ابزار قدرتمند Audit ( بازرسی یا ثبت وقایع) و مانیتورینگ اتفاقات کامپیوتر یا کامپیوترهای شبکه است. توسط این سامانه میتوان log های مربوط به کلیه وقایع امنیتی را ثبت کرد و آنها را زیرنظر گرفت. وقایع میتواند شامل وقایع موفق یا ناموفق باشد. منظور از واقعه یا Event هم میتواند یک عملیات Logon یا logoff باشد یا تلاش یک اکانت ( کاربر یا کامپیوتر یا سرویس) برای دسترسی به یک فایل / فولدر و …

Audit مستلزم اینست که مدیر شبکه اولا مشخص کند چه کارهایی باید Audit شوند و دوما چه نوع وقایعی باید log و ثبت شوند. زمانی که تلاش برای logon به دامین یا یک رخداد مرتبط با اکتیودایرکتوری بوقوع بپیوندد، لاگ مربوط به واقعه فوق درEvent Viewer روی DC دامین ثبت میشود. اگر واقعه فوق یک اتفاق روی کامپیوتر باشد مانند تلاش برای دسترسی به یک Drive آنگاه لاگ مربوط به آن روی local event log همان کامپیوتر ثبت میشود.  

 

طراحی ساختار Audit در شبکه

برای Audit تعداد زیادی پالیسی وجود دارد. چه در local Policy و چه در Group Management Policy . مدیر شبکه باید تعیین کند که از کدام پالیسی ها استفاده شود.

قدم نخست اینست که مشخص سازیم کدام کامپیوترها، کدام Resource ها و کدام وقایع دارای اهمیت هستند و باید Audit شوند. مراحل اصولی ایجاد پالیسی های Auditing برای یک سازمان به شرح ذیل است:

1- مشخص کردن اطلاعات حساس که باید Audit شوند.

2- مشخص کردن کامپیوتر، گروه کاربری و دیگر آبجکت هایی که باید به اطلاعات مشخص شده در مرحله قبل دسترسی داشته باشند.

3- انتخاب کردن تنظیمات Audit Policy که میتوان از آنها برای مانیتور کردن فعالیت های کامپیوترها، گروهها و دیگر آبجکتهای مشخص شده در مرحله قبل استفاده کرد.

4- تصمیم گیری در مورد اینکه احتیاج به دانستن فقط وقایع موفق ( Success ) وجود دارد یا فقط وقایع ناموفق ( Failure ) و یا هر دو.

5- ایجاد یک استراتژی توسعه و توزیع Audit Policy . بعنوان مثال میتوان از GPO ها استفاده کرد بصورتی که آبجکتهای Active Directory به آنها لینک شوند و Audit Policy های لازم برای هر کدام پیکربندی گردند.

6- پیکربندی اندازه Security Log ها بر اساس تعداد وقایع رخ داده. نیز باید تنظیمات و پیکربندی هایی برای آرشیو کردن این وقایع در نظر گرفت تا همواره در مورد history اتفاقات شبکه دارای مستندات باشیم.

توجه داشته باشید که داشتن لاگهای زیاد لزوما به افزایش کنترل کمکی نمی کند. جایزه هم به مدیر شبکه ای که لاگهای زیاد در دست دارد، اعطا نمی شود. هیچ ارزشی ندارد که یک مدیر شبکه حجم زیادی لاگ در دسترس داشته باشد ولی بیشتر لاگها بی ارزش یا کم ارزش باشند. مهم است سیستم Auditing شبکه را طوری طراحی کنیم که لاگهای با ارزش در اختیار داشته باشیم. بعنوان مثال اگر میخواهید دسترسی های read به یک فایل / فولدر را تحث Audit داشته باشید باید Audit که طراحی میکنید فقط وقایع مربوط به دسترسی Read را ثبت نماید و وقایع دسترسی full Control مانند تغییر دادن Permission ها را ثبت نکند.

فرآیند Auditing از منابع سیستمی برای پردازش و ذخیره Event ها استفاده میکند. بنابراین ایجاد Audit های غیر ضروری فقط باعث مشغول شدن بیهوده منابع سخت افزاری/ نرم افزاری از یکسو و پیچیده شدن مانیتورینگ از سوی دیگر میشود. تنظیمات Advanced Audit که بزودی با آن آشنا خواهید شد، شما را قادر میسازد که دست بازتری در انتخاب و طراحی Event ها داشته باشید چون لاگهای دقیق تر و مدیریت کاملتری را برای شما فراهم میسازد.

در دوره آموزشی MCSE 2016 با انواع و کاربرد هر یک از Audit Policy و چگونگی پیکربندی صحیح Event Viewer  آشنا خواهید شد.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

 

 

1398-12-14

0 پاسخ به "ثبت رخدادها در کنسول Event Viewer ویندوز"

ارسال یک پیغام

رفتن به نوار ابزار