четверг, 26 июня 2008 г.

Пошаговые руководства для установки, настройки и использования систем Windows Server 2008

Из блога Beshkov Andrey узнал любопытную новость. Microsoft выложила большое количество пошаговых руководств для установки, настройки и использования систем Windows Server 2008. Все инструкции на РУССКОМ языке!
Все инструкции представлены в формате WORD и весят 4,46 Мб.

Ссылка на страницу загрузки: http://www.microsoft.com/rus/windowsserver2008/tutorials/default.mspx

Закачать все руководства одним архивом: http://www.microsoft.com/rus/download.aspx?file=/windowsserver2008/guides/WS08_Step-by-Step_rus.zip

понедельник, 23 июня 2008 г.

TechNet Magazine HTML Help Files

Может быть еще кто-то не знает, что во всем мире журнал TechNet Magazine распростроняется бесплатно. Это журнал об IT технологиях и продуктах Microsoft. Очень полезное и нужно чтиво.
В нашей строне на него можно оформить подписку или загрузить из Internet.
Для загрузки доступны номера с 2005-ого года, а с ноября 2006-ого доступны номера на русском языке.

Страница журнала на русском языке:
http://technet.microsoft.com/ru-ru/magazine/default(TechNet.10).aspx

Страница загрузок в .CHM формате:
http://technet.microsoft.com/ru-ru/magazine/cc135917(en-us,TechNet.10).aspx

Результаты опроса

Как отреагировать на событие?

Введение

Часто возникает необходимость узнавать о том, что происходит какое-то событие в нашей операционной системе. Конечно, в нашем распоряжении есть журнал событий, и в нем регистрируется масса событий, таких как вход/выход пользователя в систему, старт или перезапуск системы и много, МНОГО, других событий. Часто эти события носят чисто информативный характер, но иногда они предупреждают нас о возможных проблемах, а в некоторых случаях явно указывают на ошибку.
Хорошей практикой является, по крайней мере, раз в день просматривать журнал событий, но не все это делают, да и не всегда есть возможность. Конечно есть такие утилиты как Microsoft Operations Manager, но они требуют вложений и обучения персонала, что не всегда подходят для малого бизнеса.
Как показала практика, многим администраторам хочется узнавать о возникновении какого либо события по факту его возникновения и желательно методом оповещения, например, по средствам электронной почты. И как, опять же, показывает практика, не все знают, как это реализовать, а видь Windows содержит встроенное средство.
В данной статье речь пойдет о утилите командной строки eventtriggers.exe. Данная утилита находится в C:\WINDOWS\system32 и идет в стандартной поставке операционной системы Windows XP/2003.

Как работает Eventtriggers.exe?

Утилита создает триггер, который будет отслеживать появления события в журнале и выполнять указанное действие. Например, при появлении события с номер 528, в журнале событий безопасности, выполнять скрипт, который отправит письмо на почтовый ящик администратора.

Приступая к работе...
Что бы начать работать с утилитой eventtriggers.exe откройте консоль командной строки и наберите eventtriggers. Вы увидите надпись «INFO: No event triggers found» если в вашей системе не создано триггеров или вы увидите список уже созданных триггеров, как показано на рисунке ниже.
Тоже самое можно увидеть если набрать «eventtriggers /query». Помимо этого существует еще два ключа так называемого «верхнего уровня». Это /Create и /Delete которые создают и удаляют тригера.

Дополнительную информацию по ключам утилиты можно получить набрав «eventtriggers /?» или пройдя по следующей ссылке http://technet.microsoft.com/en-us/library/bb490901(TechNet.10).aspx

Узнать больше о событиях Windows вам поможет следующий раздел сайта Microsoft:
http://www.microsoft.com/technet/support/ee/ee_advanced.aspx

В ближайшее время я более подробно опишу утилиту eventtriggers.exe и приведу несколько практических примеров использования.

Аудит журнала безопасности или Чем анализировать события аудита NTFS

часть 2

начало статьи читайте тут (http://mdanshin.blogspot.com/2008/06/1-ntfs.html).

Пункт 1 - "SELECT SID INTO c:\temp\output.csv"

SELECT - это стандартная команда на выборку. SID - означает что выбирать. Так мы ограничиваем количество полей. Если бы мы поставили вместо SID * (звездочку) то мы получили бы все поля которые содержатся в каждой записи. А так нас интересует только SID, который мы потом преобразуем в имя пользователя. При помощи вспомогательной команды INTO мы сообщаем LogParser'у где хотим разместить результаты запроса, а именно в файле c:\temp\output.csv.

Пункт 2 - FROM Security

при помощи команды FROM мы говорим, что данные нам нужны из конкретного места, а затем указываем из какого, а именно из Security. Имеется ввиду журнал безопасности Windows.

Пункт 3 - WHERE EventTypeName = 'Success Audit event' AND EventID = 560 AND Message LIKE '%%H:\\temp\\test%%' AND Message LIKE '%%ReadData (or ListDirectory)%%'"

Эта часть выглядит более ёмкой, но на самом деле все просто. По сути это фильтр. Что бы отфильтровать записи, которые нам не нужны. По условиям нашего сценария нас интересуют не все записи из журнала безопасности. Для того, что бы отфильтровать записи мы используем оператор WHERE а потом говорим, что нас интересуют только те записи которые имеют тип «'Success Audit event», код события 560, где описание содержит путь к нашей папке H:\\temp\\test и содержат фразу ReadData (or ListDirectory).

По сути, выделенная фраза является приблизительным переводом того запроса, который мы используем в качестве фильтра.

Осталось разобрать, что означает «-i:EVT -resolveSIDs:ON -o:CSV». Эти операторы сообщают программе информацию о том в каком формате мы подаем данные на вход, в каком формате хотим увидеть их на выходе, а так же даем инструкцию преобразовать SID в имя пользователя.

-i:EVT
Формат входящих данных

-resolveSIDs:ON
Разрешить преобразование SID в имя пользователя

-o:CSV
Формат выходных данных

ДОПОЛНИТЕЛЬНО:

Скачать LogParser
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

В следующей раз я опишу процесс установки, операторы и приведу дополнительные примеры использования утилиты LogParser.

P.S.

Мне важно знать ваше мнение. Оставьте комментарий к статье. Если понравилось напишите "+" если нет напишите "-" или любой другой комментарий, который поможет сделать посты более качественными.

пятница, 20 июня 2008 г.

Аудит журнала безопасности или Чем анализировать события аудита NTFS

часть 1

Вам приходилось включать аудит доступа на ресурсы на уровне NTFS? Уверен, что да. А что потом? В журнал безопасности наполняется сообщениями с содержанием кто входил, когда и т.д. Допустим у вас есть десяток ресурсов на которые вам необходимо включить аудит. При определенной активности ваш журнал событий переполнится через несколько дней!

Да и потом... А чем вы собираетесь просматривать данные? Event Viewer? Не думаю... На самую простую задачу у вас уйдет масса времени потому, что Windows (до 2008, может там что-то появилось) не предоставляет средств для анализа.

Недавно мне пришлось решать следующую задачу:

Нужно из системного журнала безопасности (сохранен в отдельном файле) вытащить данные по обращению к конкретной папке (допустим название папки "Задачи отдела"), что бы на выходе получились удобочитаемые данные с информацией о количестве обращений сгруппированными по пользователю и дате. Аудит на success и failure включен, записи в журнал есть.

На форуме TechNet было предложено несколько вариантов решения.

Essentials 2007

SCOM 2007

Scriptlogic File System Auditor™

Event Log Explorer™


а так же

LogParser

В основном это утилиты которые подразумевают установку сложных программ с дополнительной установкой "агентов", которые будут собирать сведения в свои базы или базы SQL. Коллегами sie и G14 даже был проведен сравнительный анализ по стоимости продуктов разработки Microsoft. Но мне то нужно просто проанализировать уже имеющиеся данные.

Пришлось воспользоваться утилитой LogParser от Microsoft. Эта утилита командной строки. Она бесплатная и с очень большими возможностями. Круг ее использования не ограничивается журналами событий. Но ее гибкость одновременно являются и ее недостатком. Утилита хороша, но сходу с ней разобраться невозможно.

Я приведу код, который помог мне решить поставленную задачу и описание каждого параметра, что бы легче было адаптировать под свои нужды.

logparser.exe "SELECT SID INTO c:\temp\output.csv FROM Security WHERE EventTypeName = 'Success Audit event' AND EventID = 560 AND Message LIKE '%%H:\\temp\\test%%' AND Message LIKE '%%ReadData (or ListDirectory)%%'" -i:EVT -resolveSIDs:ON -o:CSV

Запрос состоит из двух частей. logparser.exe это имя самой программы. Если вы находитесь в другом каталоге то в начале нужно присовокупить полный путь к программе. Далее идет запрос, похожий на SQL, который производит выборку. Жирным выделены параметры предназначенные для самого LogParser'а.

Давайте подробно рассмотрим первую часть.

Стандартный SQL запрос на выборку строится по следующему алгоритму. "SELECT что_именно FROM откуда_конкретно WHERE уточненные_данные_как_фильтр_запроса". если приглядеться, то в моем примере все это присутствует. Давайте более подробно остановимся на каждом элементе запроса. В данном случае он разбит на три части:

что_именно
откуда_конкретно
уточненные_данные_как_фильтр_запроса


В следующей части статьи мы разберем каждый пункт более подробно.

Продолжение статьи читатйте тут (http://mdanshin.blogspot.com/2008/06/ntfs.html).

No Comments :)

Баян конечно, но может кто ни будь не видел, как в Microsoft украшает свои туалеты:


Мне понравилось. У них там еще есть "веселые картинки". :) Если интересно, в следующий раз могу сфоткать.

среда, 18 июня 2008 г.

Опять призы от Microsoft

Microsoft последнее время радует возможностью получить приз за не сложное задание. На этот раз дают скутера, приставки и веб камеры. Вся информация по этой ссылке

http://puzzle.ru.msn.com/Default.aspx?IID=6eeeeba5-44c8-4cb0-82f9-25ba9ff28b21

понедельник, 16 июня 2008 г.

Закаладка Security (Безопасность) в System Manager

В Exchange System Manager не для всех объектов видна закладка Security (Безопасность). Что бы включить отображение закладки Security (Безопасность) для всех объектов необходимо внести исправление в реестр.
  1. Запустите редактор реестра (Regedt32.exe).
  2. Найдите следующий ключ в реестре:
    HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin
  3. В меню "редактирование", нажмите добавить значение, и добавьте следующее значение:
    Value Name: ShowSecurityPageData Type: REG_DWORDValue: 1
  4. Выйдите из редактора.

Изменения вступают в силу незамедлительно. Перезапуск Exchange System Manager не требуется.

ДОПОЛНИТЕЛЬНО:

Дополнительная информация содержится в статье Security Tab Not Available on All Objects in System Manager