ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 1039
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Руководство администратора
229
Глава 9: Настройка Сервера Dr.Web
9.2.2. Журнал аудита
Журнал аудита позволяет просмотреть список событий и изменений, осуществленных при помощи управляющих подсистем Dr.Web Enterprise Security Suite.
Чтобы просмотреть журнал аудита
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В открывшемся окне выберите пункт управляющего меню Журнал аудита.
3. Откроется окно с таблицей зарегистрированных действий. Для настройки просмотра журнала задайте на панели инструментов период, в течение которого осуществлялись действия. Для этого вы можете выбрать в выпадающем списке один из предлагаемых периодов или задать произвольные даты в календарях, открываемых при нажатии на поля дат. Нажмите Обновить для отображения журнала за выбранные даты.
4. Для настройки вида таблицы нажмите значок в правом углу заголовка таблицы. В
выпадающем списке вы можете настроить следующие опции:
·
Включить или отключить перенос строк для длинных сообщений.
·
Выбрать столбцы, которые будут отображаться в таблице (отмечены флагом рядом со своим названием). Для включения/отключения столбца нажмите на строку с его названием.
·
Выбрать порядок следования столбцов в таблице. Для изменения порядка перетащите соответствующий столбец в списке на требуемое место.
5. Таблица журнала содержит следующие данные:
·
Время — дата и время, когда было произведено действие.
·
Состояние — краткий результат выполнения действия:
ъ ОК — операция выполнена успешно.
ъ неуспешно — во время выполнения операции произошла ошибка. Операция не выполнена.
ъ инициировано — выполнение операции было инициировано. Результат выполнения операции будет известен только после ее завершения.
ъ нет прав — у администратора, запустившего выполнение операции, нет прав для ее выполнения.
ъ отложено — выполнение действия было отложено до наступления определенного срока или выполнения определенного события.
ъ запрещено — выполнение запрошенного действия запрещено. Например,
удаление системных групп.
Для действий, завершившихся с ошибкой (значение неуспешно в столбце Состояние),
строки отмечаются красным цветом.
Руководство администратора
230
1 ... 16 17 18 19 20 21 22 23 ... 38
Глава 9: Настройка Сервера Dr.Web
·
Сообщение / Ошибка — подробное описание произведенного действия или возникшей ошибки.
·
Регистрационное имя — регистрационное имя администратора Сервера.
Указывается, если действие было инициировано непосредственно администратором или при подключении к Серверу согласно учетным данным администратора.
·
Адрес — IP-адрес, с которого было инициировано выполнение данного действия.
Указывается только в случае внешнего подключения к Серверу, в частности через
Центр управления или через Web API.
·
Подсистема — название подсистемы, которой или через которую было инициировано действие. Запись аудита осуществляется для следующих подсистем:
ъ Центр управления — действие было произведено через Центр управления безопасностью Dr.Web, в частности администратором.
ъ Web API — действие было произведено через Web API, например, из внешнего приложения, подключенного согласно учетным данным администратора (см.
также документ Приложения, п.
Приложение М. Интеграция Web API и Dr.Web
Enterprise Security Suite
).
ъ Сервер — действие было произведено Сервером Dr.Web, например, согласно его расписанию.
ъ Утилиты — действие было инициировано через внешние утилиты, в частности через утилиту дистанционной диагностики Сервера.
6. Для отображения только определенных данных в таблице нажмите значок в
правом углу заголовка таблицы. В выпадающем списке установите флаги для данных,
которые вы хотите видеть в таблице.
Параметры фильтра непостоянны. Их наличие или отсутствие зависит от данных,
которые были получены за указанный период времени. Параметр исчезает из фильтра,
если за указанный период времени не были получены соответствующие ему данные.
7. При необходимости вы можете экспортировать в файл данные за выбранный период.
Для этого на панели инструментов нажмите одну из следующих кнопок:
Сохранить данные в CSV-файл,
Сохранить данные в HTML-файл,
Сохранить данные в XML-файл,
Сохранить данные в PDF-файл.
9.2.3. Журнал Сервера Dr.Web
Сервер Dr.Web ведет журнал событий, связанных с его работой.
Руководство администратора
231
Глава 9: Настройка Сервера Dr.Web
Журнал Сервера используется для отладки, а также устранения неполадок в случае нештатной работы компонентов антивирусной сети.
По умолчанию файл журнала называется drwcsd.log и располагается:
·
Под ОС UNIX:
ъ для ОС Linux: /var/opt/drwcs/log/drwcsd.log;
ъ для ОС FreeBSD: /var/drwcs/log/drwcsd.log.
·
Под ОС Windows: в подкаталоге var каталога установки Сервера.
Файл имеет простой текстовый формат (см. документ Приложения, раздел
Приложение
Л. Формат файлов журнала
).
Чтобы просмотреть журнал работы Сервера через Центр управления
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В открывшемся окне выберите пункт управляющего меню Журнал Сервера Dr.Web.
3. Откроется окно со списком журналов работы Сервера. Согласно настройкам режима ротации используется следующий формат именования файлов журнала работы
Сервера:
порядковый номер: 1, 2, и т. д. Например, при названии файла drwcsd, список файлов журнала работы будет следующий:
·
drwcsd.log
— текущий файл (в который идет запись),
·
drwcsd.1.log.gz
— предыдущий,
·
drwcsd.2.log.gz и так далее — чем больше число, тем более старая версия.
4. Для управления файлами журнала установите флаг напротив нужного файла или нескольких файлов. Для выбора всех файлов журнала установите флаг в заголовке таблицы. На панели инструментов станут доступны следующие кнопки:
Экспортировать выбранные файлы журнала — сохранить локальную копию выбранных файлов журнала. Сохранение копии журнала может использоваться,
например, для просмотра содержимого файла журнала с удаленного компьютера.
Удалить выбранные файлы журнала — для удаления выбранных файлов журнала без возможности восстановления.
Для изменения режима ведения журнала Сервера через Центр управления воспользуйтесь разделом
Журнал
Руководство администратора
232
Глава 9: Настройка Сервера Dr.Web
Настройка журнала работы для UNIX
В Серверах Dr.Web под ОС семейства UNIX включена возможность настройки ведения журнала работы Сервера через отдельный конфигурационный файл:
·
для ОС Linux: /var/opt/drwcs/etc/local.conf;
·
для ОС FreeBSD: /var/drwcs/etc/local.conf.
Содержимое файла local.conf:
# Log level.
DRWCS_LEV=info
# Log rotation.
DRWCS_ROT=10,10m
Значения параметров соответствуют значениям ключей командной строки для запуска
Сервера:
·
-verbosity=
<уровень_подробности> — уровень детализации журнала работы
Сервера.
·
-rotate=
Подробное описание ключей приведено в документе Приложения, раздел
З3.8.
Описание ключей
Если файл local.conf был отредактирован в процессе работы Сервера, необходимо перезагрузить Сервер, чтобы изменения в настройках ведения журнала вступили в силу. Перезагрузка должна осуществляться средствами операционной системы.
При обновлении и удалении Сервера файл local.conf проходит резервное копирование, что позволяет управлять уровнем ведения журнала при пакетном обновлении Сервера.
9.2.4. Журнал обновлений репозитория
Журнал обновлений репозитория содержит список обновлений с ВСО, включающий подробную информацию об обновленных ревизиях продуктов.
Чтобы просмотреть журнал обновлений репозитория
1. Выберите пункт Администрирование в главном меню Центра управления.
2. В открывшемся окне выберите пункт управляющего меню Журнал обновлений
репозитория.
Руководство администратора
233
Глава 9: Настройка Сервера Dr.Web
3. Откроется окно с таблицей зарегистрированных действий. Для настройки просмотра журнала задайте на панели инструментов период, в течение которого осуществлялись действия. Для этого вы можете выбрать в выпадающем списке один из предлагаемых периодов или задать произвольные даты в календарях, открываемых при нажатии на поля дат. Нажмите Обновить для отображения журнала за выбранные даты.
4. Чтобы отображать в таблице только события определенного типа, нажмите на значок на панели инструментов. В выпадающем списке выберите нужный вариант:
·
Показывать все события — в таблице журнала будут отображены все события,
перечисленные в группах ниже.
·
Показывать успешные сеансы обновления — в таблице журнала будут отображены сеансы обновления, при которых соединение с ВСО было успешно установлено, на ВСО обнаружена новая ревизия, которая была успешно загружена в репозиторий Сервера.
·
Показывать неуспешные сеансы обновления — в таблице журнала будут отображены сеансы обновления, при которых соединение с ВСО было успешно установлено, на ВСО обнаружена новая ревизия, но загрузка этой ревизии завершилось неудачно.
·
Показывать неуспешные соединения с ВСО Dr.Web — в таблице журнала будут отображены сеансы обновления, при которых соединение с ВСО не было установлено или было прекращено до получения информации о ревизиях на ВСО.
5. Таблица журнала содержит следующие данные:
·
Начало — дата и время начала загрузки обновлений конкретного продукта с ВСО.
·
Окончание — дата и время завершения загрузки обновлений конкретного продукта с ВСО.
·
Название продукта — название продукта репозитория, который был загружен или загрузка которого запрашивалась.
·
Результат обновления — результат обновления репозитория. Приводится краткая информация об удачном завершении обновления или причина ошибки.
Для действий, завершившихся с ошибкой, ячейки Результат обновления отмечаются красным цветом.
·
Исходная ревизия — номер ревизии (ревизии нумеруются согласно дате их создания), которая была последней для данного продукта перед началом процесса обновления.
·
Полученная ревизия — номер ревизии (ревизии нумеруются согласно дате их создания), которая была загружена в процессе обновления.
·
Обновленные файлы — краткая сводка по измененным файлам. Приводится в формате: <количество файлов> - <действие над файлами>.
·
Инициатор — система, инициировавшая процесс обновления:
ъ Запущено из командной строки — обновление инициировано администратором при помощи соответствующей консольной команды.
Руководство администратора
234
Глава 9: Настройка Сервера Dr.Web
ъ Запущено Планировщиком заданий — обновление было запущено согласно заданию в расписании Сервера Dr.Web ъ Межсерверное обновление — обновление было получено по межсерверной связи от главного Сервера. Данный инициатор присутствует только в случае многосерверной конфигурации антивирусной сети с распространением обновлений по межсерверным связям.
ъ Запущено из Центра управления — обновление было запущено администратором через Центр управления безопасностью Dr.Web, в разделе
Состояние репозитория ъ Импорт репозитория — обновление было загружено администратором через раздел
Содержимое репозитория
Центра управления.
·
Администратор — регистрационное имя администратора Сервера. Указывается,
если действие было инициировано непосредственно администратором.
·
Сетевой адрес — IP-адрес, с которого было инициировано выполнение данного действия. Указывается только в случае внешнего подключения к Серверу, в частности через Центр управления или через Web API.
·
Каталог в репозитории — название каталога репозитория Сервера, который был модифицирован согласно процессу обновления.
6. Чтобы просмотреть подробную информацию о конкретном обновлении, нажмите на строку данного обновления. Откроется окно с таблицей о файлах продукта,
измененных в процессе выбранного обновления. Для каждого файла приводится следующая информация: Имя файла, Хеш файла, Размер и Состояние.
7. При необходимости вы можете экспортировать в файл данные за выбранный период.
Для этого на панели инструментов нажмите одну из следующих кнопок:
Сохранить данные в CSV-файл,
Сохранить данные в HTML-файл,
Сохранить данные в XML-файл,
Сохранить данные в PDF-файл.
9.2.5. Журнал сообщений
В журнале сообщений отображаются все текстовые сообщения, которые были отправлены администратором на станции антивирусной сети (см.
Отправка сообщений станциям
).
Журнал отправленных сообщений содержит следующую информацию:
·
Дата отправки.
·
Отправитель — регистрационное имя администратора, авторизованного в Центре управления при отправке сообщения.
·
Состояние — количество сообщений, отправленных администратором, и количество сообщений, успешно доставленных на станции. Если количество отправленных и
Руководство администратора
235
Глава 9: Настройка Сервера Dr.Web
доставленных сообщений совпадает, то информация об этих сообщениях выделяется серым цветом.
·
Сообщение — текст отправленного сообщения. Опционально выводится информация об остальных настройках, которые были заданы при отправке.
При клике по конкретному сообщению в таблице открывается окно с подробностями о доставке: список всех получателей и дата доставки сообщения в случае успешной операции или сообщение Не доставлено — в случае неуспешной.
Для управления журналом сообщений используйте следующие опции на панели
инструментов:
Отправить выбранные сообщения повторно — опция доступна при выборе одного или нескольких отправленных сообщений в журнале (см. процедуры ниже).
Сохранить выбранное сообщение как шаблон — создать из отправленного сообщения шаблон для повторного использования в дальнейшем. Опция доступна при выборе одного сообщения в журнале. Управление сохраненными шаблонами осуществляется в разделе
Шаблоны сообщений
В выпадающем списке выберите период, в течение которого были отправлены сообщения, которые вы хотите отобразить. Тот же самый период вы можете выбрать в полях с датами, которые задаются через выпадающий календарь. Для применения выбранного периода нажмите кнопку Обновить.
Чтобы повторно отправить одно сообщение
1. Установите флаг напротив сообщения, которое вы хотите отправить.
2. Нажмите кнопку
Отправить выбранные сообщения повторно.
3. Откроется окно Отправка сообщения. Задайте следующие настройки:
a) В дереве Антивирусная сеть будут выбраны станции, на которые данное сообщение было отправлено. Можете оставить предыдущих получателей или выбрать произвольных получателей из представленного списка: это могут быть как отдельные станции, так и группы станций.
b) Настройки сообщения аналогичны настройкам из раздела
Отправка сообщений станциям
4. Нажмите кнопку Отправить.
Чтобы повторно отправить несколько сообщений
1. Установите флаги напротив сообщений, которые вы хотите отправить.
2. Нажмите кнопку
Отправить выбранные сообщения повторно.
3. Откроется окно Отправка нескольких сообщений. В разделе Список сообщений
приведены все сообщения, которые вы выбрали для повторной отправки. Названия сообщений соответствует датам их предыдущей отправки на станции.
4. Нажмите кнопку Отправить все, чтобы отправить все сообщения из списка.