Мониторинг журналов событий с помощью сценариев WMI
11
А.В. Попов ([email protected]) Мордовский госуниверситет, Саранск Е.А. Шикин ([email protected]) Мордовское отделение Сбербанка, Саранск Мониторинг журналов событий с помощью сценариев WMI Конференция «Технологии Microsoft в теории и практике программирования», МГУ им. М.В.Ломоносова, Москва, 4-5 марта 2004 г.
-
Upload
mathilde-martinez -
Category
Documents
-
view
48 -
download
0
description
Мониторинг журналов событий с помощью сценариев WMI. А.В. Попов ( wmi _ popov @ mail . ru ) Мордовский госуниверситет, Саранск Е.А. Шикин ( shikinea @ mail . ru ) Мордовское отделение Сбербанка, Саранск. Конференция «Технологии Microsoft в теории и практике программирования», - PowerPoint PPT Presentation
Transcript of Мониторинг журналов событий с помощью сценариев WMI
А.В. Попов ([email protected])
Мордовский госуниверситет, Саранск
Е.А. Шикин ([email protected])
Мордовское отделение Сбербанка, Саранск
Мониторинг журналов событий
с помощью сценариев WMI
Конференция «Технологии Microsoft в теории и практике программирования»,
МГУ им. М.В.Ломоносова, Москва, 4-5 марта 2004 г.
План доклада
Журналы событий Windows и информационная безопасностьСтандартные средства работы с журналами событийТехнология Windows Management Instrumentation (WMI) как инструмент обработки и анализа событий событийWMI-утилита EventRegister.hta для мониторинга журналов событий Источники информации по WMI
Журналы событий Windows и информационная безопасность
Старт операционной системы
Вход в систему пользователя
Запуск процессов
Использование привилегий
Изменение политик безопасности
Обработка журналов событий
Анализ имеющихся записей о событиях
Автоматическая обработка возникаю-щих событий определенного типа
Стандартные средства работы с журналами событий (Windows XP)
Оснастка MMC "Просмотр событий"
Стандартные средства работы с журналами событий (Windows XP)
VBScript-утилита EventQuery.vbs (используется WMI)
Стандартные средства работы с журналами событий (Windows XP)
Исполняемая утилита EventTriggers.exe (используется WMI)
Общая схема WMI
Провайдер журнала событий
(Event Log provider)
Провайдер журнала событий
(Event Log provider)
Журнал событий (Event Log)
Журнал событий (Event Log) Подсистема Win32Подсистема Win32
Event Log APIEvent Log APIRegistry APIRegistry API Win32 APIWin32 API
Провайдер реестра(Registry provider)
Провайдер реестра(Registry provider)
Системный реестр (Registry)
Системный реестр (Registry)
Провайдер подсистемы Win32
(Win32 provider)
Провайдер подсистемы Win32
(Win32 provider)
CIMOM (служба WMI)CIMOM (служба WMI)
WMI APIWMI APIWMI APIWMI API WMI APIWMI API
WMI COM APIWMI COM APIБиблиотека поддержки
сценариев WMI(WMI Scripting Library)
Библиотека поддержки сценариев WMI
(WMI Scripting Library) WMI ODBC AdapterWMI ODBC Adapter
Приложения Win32Приложения Win32Сценарии WMIСценарии WMI Приложения БДПриложения БД
Репозиторий CIM
(CIM repository)
УПРАВЛЯЮЩИЕ
ПРОГРАММЫ
ЯДРО WMI
УПРАВЛЯЕМЫЕ
РЕСУРСЫ...
...
Обработка событий с помощью WMI
Новая запись о событии
Новая запись о событии
Запуск приложения
Запуск приложения
Запись в текстовый файл
Запись в текстовый файл
Отправка сообщения по SMTP
Отправка сообщения по SMTP
Фильтр событий (WQL-запрос)
Фильтр событий (WQL-запрос)
Журнал событий (Event Log)
Утилита EventRegister.hta
Источники информации по WMI
Книга "Windows 2000 Scripting Guide", примеры сценариев WMI http://www.microsoft.com/technet/scriptcenter
Сайт "Технологии администрирования Windows" (информация по WMI, WMIC, ADSI, WSH) http://admtech.mrsu.ru
А.В.Попов, Е.А.Шикин. Администрирование Windows с помощью WMI и WMIC. - СПб.: БХВ-Петербург, 2004. - 752 с.
