EventAnalyser je utilita, ktorá vyčítava udalosti z Windows operačného systému, umožňuje ich komfortne triediť, filtrovať a ľudskejšie prezentuje získané výsledky vďaka pravidlám. Hlavným zdrojom udalostí pre EventAnalyser sú Event Logy v rámci operačného systému (System, Application, Security a mnohé ďalšie) spolu s vybranými zmenami v registroch.
Umožní vám výrazne zvýšiť efektivitu pri kontrolách Event Logov. V dohľadnej budúcnosti budete môcť podobne spracovávať aj udalosti cez CM Server, kde dostanete nový rozmer pre prácu s udalosťami (jednoduché nastavenie notifikovania udalostí, porovnanie udalostí medzi viacerými servermi, automatizovaný zber unikátnych udalostí, prácu s načítanými udalosťami v komforte podobnom ako v EventAnalyseri pre WINDOWS).
Naša aplikácia je príjemnou alternatívou bežného Event Viewera, ktorý má podľa nás veľa negatív (malý priestor na zobrazenie udalostí, ťažkopádne spôsoby vyhľadávania, exporty-importy). Kto s ním pracuje, mal by sa vedieť rýchlo zorientovať aj v našej aplikácii, preto sa nebudeme detailne venovať významu každého tlačidla. Zameriame sa na funkcionality, ktoré v bežnom Event Vieweri nenájdete.
PRAVIDLÁ (RULES) :
Primárne spracovanie udalostí je rozdelenie pomocou pravidiel na Dôležité (Important) a nedôležité (NotImportant). Je to mechanizmus na potlačenie veľkého množstva zbytočných udalostí a zameranie sa na podstatné. Udalosti sa budú v budúcnosti spracovávať na CM Serveri a toto je súčasťou obmedzenia objemu údajov prenášaných na CM Server.
Pravidlo sa volí prvým selectboxom v poradí. V aktuálnej verzii máte k dispozícii preddefinované pravidlá, ktorých vhodnosť pre váš účel si ľahko overíte načítaním všetkých udalostí. Vo výpise sú dôležité udalosti zaradené do skupiny (Group) rozdielnej od NotImportant a Excluded.
Poznámka: NotImportant - na udalosť sa nevzťahuje žiadne pravidlo, Excluded - bolo použité pravidlo, ktoré vylučuje danú udalosť z dôležitých.
Pravidlá sa fyzicky nachádzajú v súboroch s príponou .elr v adresári spolu s EventAnalyser.exe. S ich úpravou alebo vytváraním nových počítame v čase, keď sa budú udalosti zobrazovať na CM portáli. Zatiaľ si môžete vytvárať nové pravidlá analogicky na základe existujúcich záznamov.
ŠTATISTIKA UDALOSTÍ (Event Statistics)
Jedinečné zjednodušenie výpisu udalostí. Na to, aby ste našli niečo výnimočné v bežnom výpise v EventVieweri musíte čítať veľmi dlhé zoznamy udalostí a neprehľadne si ich filtrovať. Pri takom množstve hrozí, že niečo dôležité prehliadnete. My sme pripravili výpis unikátnych udalostí so zanedbaním variabilných hodnôt, aby sa výrazne znížil počet udalostí, ktoré chcete prečítať a tým sa znížila potenciálna chybovosť.
Výpis unikátnych udalostí sa tvorí automaticky v druhej záložke "Event Statistics" k načítaným udalostiam v prvej záložke. V stĺpci "Count" nájdete ikonku zrolovaného listu cez ktorú si dokážete vypísať udalosti s presnými hodnotami.
AUTOMATICKÉ AKTUALIZOVANIE VÝPISU UDALOSTÍ
Na paneli v pravej hornej časti je zaškrtávacie políčko "Auto". Ak máte načítaný zoznam udalostí priamo z počítača (nie otvorené udalosti z archívneho súboru), toto políčko vám umožní každých 30sec načítavať nové udalosti. Tieto ihneď zapracuje aj do štatistiky udalostí a nemusíte stále stláčať tlačidlo "Retrieve"
FILTROVANIE - CEZ VÝBER POLÍ ALEBO FULL TEXT
Pre zrýchlenie filtrácie má program k mnohým stĺpcom údajov dostupné dva spôsoby. Program sa pozrie na rôznorodosť hodnôt v stĺpci a ak je to možné (dajú sa hodnoty zoskupiť), ponúkne zaškrtávací spôsob výberu hodnôt. Stále vám zostáva možnosť zvoliť si full textové vyhľadávanie. Ak sú hodnoty príliš rozdielne, objaví sa len full textové vyhľadávanie.
Ovládanie programu je ilustrované na obrázkoch nižšie. Po ich vzhliadnutí veríme, že budete schopní využiť možnosti nášho EventAnalysera v dostatočnej miere. Nižšie nájdete aj ilustráciu využitia EventAnalysera pre sledovanie prístupu/zápisu/mazania k vybraným adresárom a súborom.
Vďaka flexibilite môže Event Analyser pomôcť s auditovaním prístupov k adresárom alebo súborom. Občas sa stane, že niekto vymaže alebo prepíše dôležitý súbor a vinníka je dosť komplikované nájsť. Áno, existujú komplexné programy na sledovanie prístupov, ale v prípade, že nechcete ucelený systém, prostredie Windows vám ponúka nenákladný vstavaný nástroj "Auditovaciu politiku". Pomocou nej si zapnete vytváranie udalostí o želanej aktivite v súborovom systéme a Event Analyser vám pomôže potrebnú udalosť rýchlo nájsť pri načítavaní.
Skrátený postup k zapnutiu auditovacej politiky :
1. "Audit objects access" v Local Security Policy (Local Policies -> Audit Policy).
2. Zapnutie auditovania zvolených adresárov, súborov (Security tab in Properties).
Upozornenie: Po zapnutí "Audit object access" sa veľmi veľa udalostí začne zapisovať do Security logu. Odporúčame ich podľa znenia povypínať. Taktiež odporúčame výrazne zväčšiť veľkosť Security Event Logu.
Po vykonaní sledovaných operácií nad zvolenými adresármi a súbormi zapnite Event Analyser a načítajte udalosti s pravidlom "File Audit". Podľa vášho filtrovania sa už ukážu udalosti s optimalizovaným popisom.
Ilustrácia postupu je zobrazená na nasledujúcich obrázkoch:
