Навигатор по разделу:
1. Общая информация
Раздел "События безопасности" предназначен для просмотра журнала событий безопасности, которые фиксируются системой в подключенных источников субъектов и хранилищах данных.
Доступ к разделу осуществляется через основное меню — раздел "События безопасности".
Рисунок — Путь к разделу "События безопасности"
2. Список событий безопасности
Чтобы посмотреть список событий безопасности, в главном меню выберите раздел "События безопасности". В разделе отображается список всех зафиксированных событий безопасности. Для каждого события доступна следующая информация:
Таблица — Информация о событиях безопасности
Поле | Описание |
Время | Дата и время события |
Служба каталогов | Наименование службы каталогов (например, Active Directory), из которой получено событие |
Уровень | Уровень важности события. Возможные значения:
|
ИД события | Уникальный числовой идентификатор типа события. Один и тот же ИД обозначает одинаковую категорию событий |
Событие | Краткое текстовое описание события (например, "An attempt was made to access an object" или "A network share object was accessed") |
Над кем совершено действие | Объект, над которым было выполнено действие |
Кто совершает действие | Субъект, который инициирует действие |
Имя машины | Имя машины, на которой было зарегистрировано событие |
Рисунок — Список событий безопасности
Для удобства работы со списком доступны фильтры по следующим полям:
- Фильтр "С" и "По":
Чтобы отфильтровать события, произошедшие в определенном временном интервале, используйте эти фильтры. Нажмите на поле фильтра "С", чтобы открыть календарь, и выберите начальную дату и время. Аналогично задайте конечную дату и время в поле "По". Система отобразит только те события, время которых попадает в заданный диапазон.
- Фильтр по уровню:
Чтобы отфильтровать события по уровню важности, выберите одно или несколько значений. Возможны следующие значения: Критический, Ошибка, Предупреждение, Информация, Все события, Подробный.
- Фильтр по ИД события:
Чтобы найти события определенного типа, введите его идентификатор в поле фильтра. Доступны условия: Равно или Не равно. Введите числовое значение ИД события (например, 4663). После добавления одного условия можно добавить еще одно, объединив их логической связкой "Каждый" (должны соблюдаться все условия) или "Любой из" (должно соблюдаться хотя бы одно условие).
- Фильтр по событию:
Чтобы отфильтровать список по текстовому описанию события, введите условие в поле фильтра. Доступны следующие условия: Содержит, Не содержит, Равно, Не равно, Начинается на, Не начинается на, Заканчивается на, Не заканчивается на, Пустое. После добавления одного условия можно добавить еще одно, объединив их логической связкой "Каждый" (должны соблюдаться все условия) или "Любой из" (должно соблюдаться хотя бы одно условие).
- Фильтр по полю "Над кем совершено действие":
Фильтрация по этому полю работает аналогично фильтру по событию. Доступен тот же набор условий и логических связок.
- Фильтр по полю "Кто совершает действие":
Фильтрация по этому полю работает аналогично фильтру по событию. Доступен тот же набор условий и логических связок.