понедельник, 23 июня 2008 г.

Аудит журнала безопасности или Чем анализировать события аудита NTFS

часть 2

начало статьи читайте тут (http://mdanshin.blogspot.com/2008/06/1-ntfs.html).

Пункт 1 - "SELECT SID INTO c:\temp\output.csv"

SELECT - это стандартная команда на выборку. SID - означает что выбирать. Так мы ограничиваем количество полей. Если бы мы поставили вместо SID * (звездочку) то мы получили бы все поля которые содержатся в каждой записи. А так нас интересует только SID, который мы потом преобразуем в имя пользователя. При помощи вспомогательной команды INTO мы сообщаем LogParser'у где хотим разместить результаты запроса, а именно в файле c:\temp\output.csv.

Пункт 2 - FROM Security

при помощи команды FROM мы говорим, что данные нам нужны из конкретного места, а затем указываем из какого, а именно из Security. Имеется ввиду журнал безопасности Windows.

Пункт 3 - WHERE EventTypeName = 'Success Audit event' AND EventID = 560 AND Message LIKE '%%H:\\temp\\test%%' AND Message LIKE '%%ReadData (or ListDirectory)%%'"

Эта часть выглядит более ёмкой, но на самом деле все просто. По сути это фильтр. Что бы отфильтровать записи, которые нам не нужны. По условиям нашего сценария нас интересуют не все записи из журнала безопасности. Для того, что бы отфильтровать записи мы используем оператор WHERE а потом говорим, что нас интересуют только те записи которые имеют тип «'Success Audit event», код события 560, где описание содержит путь к нашей папке H:\\temp\\test и содержат фразу ReadData (or ListDirectory).

По сути, выделенная фраза является приблизительным переводом того запроса, который мы используем в качестве фильтра.

Осталось разобрать, что означает «-i:EVT -resolveSIDs:ON -o:CSV». Эти операторы сообщают программе информацию о том в каком формате мы подаем данные на вход, в каком формате хотим увидеть их на выходе, а так же даем инструкцию преобразовать SID в имя пользователя.

-i:EVT
Формат входящих данных

-resolveSIDs:ON
Разрешить преобразование SID в имя пользователя

-o:CSV
Формат выходных данных

ДОПОЛНИТЕЛЬНО:

Скачать LogParser
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

В следующей раз я опишу процесс установки, операторы и приведу дополнительные примеры использования утилиты LogParser.

P.S.

Мне важно знать ваше мнение. Оставьте комментарий к статье. Если понравилось напишите "+" если нет напишите "-" или любой другой комментарий, который поможет сделать посты более качественными.

17 комментариев:

  1. + Продолжай в том же духе :)
    Кстати пара опечаток - "Пунк 1" и "-i-EVT" :)

    ОтветитьУдалить
  2. Спасибо за комментарий. Опечатки исправлены!

    ОтветитьУдалить
  3. Интересно, как раз искал подобное.

    ОтветитьУдалить
  4. Очень интересная статья! Если есть опыт работы с Log Parser'ом через COM, то можно какие-нибудь примеры привести?

    ОтветитьУдалить
  5. К сожалению с COM практически не работал. :(

    ОтветитьУдалить
  6. Спасибо за оперативный ответ! А не знаете случайно, где можно подобную информацию поискать?

    ОтветитьУдалить
  7. Боюсь, что в данном вопросе, кроме всемогущего гугла подсказать ничего не могу.

    ОтветитьУдалить
  8. Как раз искал подобную инфу, очень доходчего и ясно, благодарю!

    ОтветитьУдалить
  9. +
    продолжение будет?

    ОтветитьУдалить
  10. не могу разобраться - как на основании сохраненных системных журналов в txt-формате (разделители - табуляция) сделать отчет-выборку строк с несколькими определенными событиями?

    ОтветитьУдалить
  11. Сходу не отвечу, давно не брал шашек в руки! ;) Напишите пожалуйста на support@danshin.ms и я обязательно отвечу Вам.

    ОтветитьУдалить