Наиболее сложная часть конфигурирования — настройка отображения типов событий Event Log, но даже это можно легко сделать. В раскрывающемся списке выберите необходимый журнал: События приложений (Application), События безопасности (Security) или Системные события (System Event).  Для настройки выбранного журнала щелкните на кнопке EventLog. При выборе протокола событий безопасности после щелчка на этой кнопке вы увидите окно.

Для разрешения перенаправления событий определенного типа установите возле них флажок. С помощью раскрывающихся списков можно также настроить серьезность и категорию каждого типа событий. Поскольку это протокол безопасности, необходимо выбрать категорию security или auth. Для определения серьезности события выберите что-либо созвучное типу журнала Windows.

Например, для типа Информация (Information) я выбрал (4)security/auth1 и (6)information. Однако можно выбирать категорию и серьезность, не используемые любым из Unix-серверов, и заставить syslogd записывать все Windows-события в обычный отдельный файл. Конечно же, при использовании syslog-ng можно использовать любую категорию на выбор и выполнять фильтрацию Windows- узлов по IP-адресу.

После настройки попробуйте несколько раз войти в систему и выйти с неверным паролем для того, чтобы убедиться, что все работает. Если это так, то вы увидите подобные сообщения об ошибках: Oct 29 17:19:04 plunder security[failure] 529 NT AUTHORITY\\SYSTEM Logon Failure: Reason:Unknown user name or bad password User Name:andrew Domain: PLUNDER Logon Type:2 Logon Process:User32 Authentication Package:Negotiate Workstation Name:PLUNDER Одним из самых больших достоинств результата проделанной работы является возможность использовать для наблюдения за Windows-системами мощные и гиб- кие средства ОС Unix.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *