Аудит, теневое копирование и алерты (для протоколов)

DeviceLock позволяет выполнять аудит доступа, теневое копирование файлов и данных, передаваемых по сетевым каналам, а также рассылку оперативных оповещений.

Для записи данных аудита и теневого копирования DeviceLock использует два типа журналов: журнал аудита и журнал теневого копирования. Журнал аудита используется для отслеживания действий пользователей и записи событий доступа к протоколам. Данные аудита могут быть записаны в стандартную подсистему ведения протоколов событий (Windows Event Log), в собственный журнал DeviceLock или одновременно в оба журнала. Чтобы указать, в какой из двух журналов следует сохранять данные аудита, используйте параметр Тип журнала аудита из группы Настройки сервиса. Для просмотра данных аудита используйте Просмотрщик журнала аудита для Сервиса DeviceLock или для DeviceLock Enterprise Server.

Журнал теневого копирования используется для хранения полных копий файлов и данных, передаваемых по сетевым каналам. Для просмотра данных теневого копирования используйте Просмотрщик журнала теневого копирования для Сервиса DeviceLock или для DeviceLock Enterprise Server.

Чтобы включить аудит, теневое копирование для данных, передаваемых через указанные протоколы и оповещения, необходимо задать правила аудита, теневого копирования и алертов. В каждом правиле для протокола задаются пользователи и группы, к которым применяется это правило, а также соответствующие права аудита, теневого копирования и алертов, которые определяют, для каких действий пользователя выполнять аудит, теневое копирование и рассылку оповещений.

Можно задать следующие права аудита, теневого копирования и алертов (права алертов полностью совпадают с правами аудита):

- FTP: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с FTP-сайтом. 
• Аудит: Входящие файлы - включает аудит для попыток пользователя загрузить файл с FTP-сайта.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл на FTP-сайт.
• Теневое копирование: Входящие файлы - включает теневое копирование для файлов, загруженных с FTP-сайта.
• Теневое копирование: Исходящие файлы - включает теневое копирование для файлов, отправленных на FTP-сайт.

- HTTP: 

• Аудит: Соединение - включает аудит для попыток пользователя открыть веб-страницу. Примечание: Если это право включено, при попытке пользователя открыть веб-страницу в журнал аудита записывается множество событий Соединение (Connection). Это происходит потому, что веб-страницы часто содержат ссылки на другие ресурсы (изображения, скрипты и т.п.), расположенные на других узлах.
• Аудит: Входящие данные - включает аудит для веб-страниц и объектов на веб-страницах: скриптов, Flash-файлов (размером до 1.5 МБ), изображений (размером до 512 КБ), текста (размером до 200 КБ) и т.п.
• Аудит: Входящие файлы - включает аудит для попыток пользователя загрузить файл с веб-сайта.
• Аудит: Исходящие данные Тип данных Исходящие данные не содержит данных. Это право включает аудит для заблокированных попыток пользователя открыть веб-страницу, в случае если для протокола выбрана опция Аудит запретов.
• Аудит: POST-запросы - включает аудит для попыток пользователя отправить данные веб-форм на веб-сайт.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл на веб-сайт.
• Теневое копирование: Входящие данные - включает теневое копирование для веб-страниц и объектов на веб-страницах: скриптов, Flash- файлов (размером до 1.5 МБ), изображений (размером до 512 КБ), текста (размером до 200 КБ) и т.п.
• Теневое копирование: Входящие файлы - включает теневое копирование для файлов, загруженных с веб-сайта.
• Теневое копирование: Исходящие данные Это право не влияет на теневое копирование.
• Теневое копирование: POST-запросы - включает теневое копирование для отправленных данных веб-форм.
• Теневое копирование: Исходящие файлы - включает теневое копирование для файлов, отправленных на веб-сайт.

- ICQ/AOL Messenger: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с сервером ICQ и AOL Instant Messenger.
• Аудит: Входящие сообщения, Исходящие сообщения - включает аудит для попыток пользователя отправить и получить мгновенные сообщения.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения - включает теневое копирование для полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- IRC: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с IRC-сервером.
• Аудит: Входящие сообщения, Исходящие сообщения - включает аудит для попыток пользователя отправить и получить мгновенные сообщения.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения - включает теневое копирование для полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- Jabber: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с Jabber-сервером.
• Аудит: Входящие сообщения, Исходящие сообщения - включает аудит для попыток пользователя отправить и получить мгновенные сообщения.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения - включает теневое копирование для полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- Mail.ru Агент: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение Mail.ru Агента с сервером Mail.ru.
• Аудит: Входящие сообщения, Исходящие сообщения - включает аудит для попыток пользователя отправить и получить мгновенные сообщения.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения  - включает теневое копирование для полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- MAPI: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с Microsoft Exchange Server с помощью клиента Outlook.
• Аудит: Входящие сообщения, Входящие файлы - включает аудит попыток пользователя получить из Microsoft Exchange Server через клиент Outlook почтовое сообщение с вложениями или без них.
• Аудит: Исходящие сообщения, Исходящие файлы - включает аудит попыток пользователя отправить почтовое сообщение с вложениями или без них в Microsoft Exchange Server через клиент Outlook.
• Теневое копирование: Входящие сообщения, Входящие файлы - включает теневое копирование полученных сообщений электронной почты с вложениями или без них.
• Теневое копирование: Исходящие сообщения, Исходящие файлы - включает теневое копирование отправленных сообщений электронной почты с вложениями или без них.

- Skype: 

• Аудит: Соединение - включает аудит для попыток пользователя войти в учетную запись Skype.
• Аудит: Входящие звонки - включает аудит для попыток пользователя принять звонок.
• Аудит: Входящие сообщения - включает аудит для попыток пользователя получить мгновенное сообщение.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие звонки - включает аудит для попыток пользователя совершить звонок.
• Аудит: Исходящие сообщения - включает аудит для попыток пользователя отправить мгновенное сообщение.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения - включает теневое копирование полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- SMB: 

• Аудит: Соединение - включает аудит для попыток пользователя подключиться к общему сетевому ресурсу на SMB-сервере. Также включает аудит попыток доступа к локальному сетевому ресурсу на компьютере, где запущен Сервис DeviceLock, с удаленных компьютеров.
• Аудит: Входящие файлы - включает аудит для попыток пользователя загрузить файл с SMB-сервера. Также включает аудит попыток загрузки файлов с локального сетевого ресурса на компьютере, где запущен Сервис DeviceLock, с удаленных компьютеров.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл на SMB-сервер. Также включает аудит попыток отправки файлов на локальный сетевой ресурс на компьютере, где запущен Сервис DeviceLock, с удаленных компьютеров.
• Теневое копирование: Входящие файлы - включает теневое копирование для файлов, загружаемых с SMB-сервера. Также включает теневое копирование для файлов, загружаемых с локального сетевого ресурса на компьютере, где запущен Сервис DeviceLock, с удаленных компьютеров.
• Теневое копирование: Исходящие файлы - включает теневое копирование для файлов, отправляемых на SMB-сервер. Также включает теневое копирование для файлов, отправляемых на локальный сетевой ресурс на компьютере, где запущен Сервис DeviceLock, с удаленных компьютеров.

- SMTP: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с SMTP-сервером.
• Аудит: Исходящие сообщения, Исходящие файлы - включает аудит для попыток пользователя отправить сообщение электронной почты с вложениями или без вложений.
• Теневое копирование: Исходящие сообщения, Исходящие файлы - включает теневое копирование для отправленных сообщений электронной почты с вложениями или без вложений.

- Социальные сети: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с сайтом социальной сети.
• Аудит: Исходящие сообщения - включает аудит для попыток пользователя отправить сообщения, комментарии и т.п.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить медиа-файлы и другие файлы на сайт социальной сети.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных сообщений, комментариев и т.п.
• Теневое копирование: Исходящие файлы - включает теневое копирование для файлов, отправленных на сайт социальной сети.

- Telnet: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с Telnet-сервером.

- Web-почта: 

• Аудит: Соединение - включает аудит для попыток пользователя получить доступ к веб-почте.
• Аудит: Исходящие сообщения, Исходящие файлы - включает аудит для попыток пользователя отправить сообщение электронной почты с вложениями или без вложений.
• Теневое копирование: Исходящие сообщения, Исходящие файлы - включает теневое копирование для отправленных сообщений электронной почты с вложениями или без вложений. Примечание: Почтовые службы автоматически сохраняют черновики сообщений. DeviceLock рассматривает сохранение черновика как отправку сообщения.

- Windows Messenger: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с сервером Windows Messenger.
• Аудит: Входящие сообщения, Исходящие сообщения - включает аудит для попыток пользователя отправить и получить мгновенные сообщения.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения - включает теневое копирование для полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- Yahoo Messenger: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с сервером Yahoo Messenger.
• Аудит: Входящие сообщения, Исходящие сообщения - включает аудит для попыток пользователя отправить и получить мгновенные сообщения.
• Аудит: Входящие файлы - включает аудит для попыток пользователя получить файл.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл.
• Теневое копирование: Входящие сообщения - включает теневое копирование для полученных мгновенных сообщений.
• Теневое копирование: Входящие файлы - включает теневое копирование полученных файлов.
• Теневое копирование: Исходящие сообщения - включает теневое копирование для отправленных мгновенных сообщений.
• Теневое копирование: Исходящие файлы - включает теневое копирование отправленных файлов.

- Файловые хранилища: 

• Аудит: Соединение - включает аудит для попыток пользователя установить соединение с файлообменным сайтом.
• Аудит: Входящие файлы - включает аудит для попыток пользователя загрузить файл с файлообменного сайта.
• Аудит: POST-запросы - включает аудит для попыток пользователя отправить данные веб-форм, например комментарии к отдельным файлам.
• Аудит: Исходящие файлы - включает аудит для попыток пользователя отправить файл на файлообменный сайт.
• Теневое копирование: Входящие файлы - включает теневое копирование для файлов, загруженных с файлообменного сайта.
• Теневое копирование: POST-запросы - включает теневое копирование для отправленных данных веб-форм (комментарии к отдельным файлам).
• Теневое копирование: Исходящие файлы - включает теневое копирование для файлов, отправленных на файлообменный сайт.

Чтобы задать правила аудита и теневого копирования по умолчанию

1. В левой верхней части диалогового окна укажите, какие события записываются в журнал аудита. Установите флажок Аудит разрешений, чтобы регистрировать успешные попытки доступа к протоколу. Установите флажок Аудит запретов, чтобы регистрировать неудачные попытки доступа к протоколу.

2. В левой верхней части диалогового окна в области Пользователи нажмите кнопку По умолчанию. По умолчанию правила аудита и теневого копирования задаются для членов групп Пользователи и Все.

Чтобы настроить правила аудита, теневого копирования и оповещений для нового пользователя или группы

1. В левой верхней части диалогового окна укажите, какие события должны записываться в журнал аудита. Установите флажок Аудит разрешений, чтобы регистрировать успешные попытки доступа к протоколу. Установите флажок Аудит запретов, чтобы регистрировать неудачные попытки доступа к протоколу. Для того чтобы включить оповещения об успешных и/или неудачных попытках доступа к протоколу, установите флажки Алерт разрешений и/или Алерт запретов. Все эти флажки не имеют логической привязки к отдельным учётным записям пользователей или групп, они влияют на весь протокол.

DeviceLock рассылает оповещения с учетом настроек оповещений. В этих настройках задается адресат и причина отправки оповещений. Перед тем, как включить оповещения для определенных событий, задайте настройки оповещений в разделе Настройки сервиса.

2. В левой верхней части диалогового окна в области Пользователи нажмите кнопку Добавить. Появится диалоговое окно Выбор: "Пользователи" или "Группы".

3. В диалоговом окне Выбор: "Пользователи" или "Группы" в поле Введите имена выбираемых объектов введите имя пользователя или группы, а затем нажмите кнопку OK. Добавленные пользователи и группы отображаются в области Пользователи в левой верхней части диалогового окна Аудит, теневое копирование и алерты.

4. В левой верхней части диалогового окна Аудит, теневое копирование и алерты в области Пользователи выберите пользователя или группу. Чтобы выбрать одновременно несколько пользователей или групп, используйте клавиши SHIFT или CTRL.

5. В левой нижней части диалогового окна Аудит, теневое копирование и алерты в области Права пользователя выберите Разрешено или Запрещено рядом с необходимыми правами аудита, теневого копирования и алертов, чтобы включить или отключить данные права. 

В правой части диалогового окна Аудит, теневое копирование и алерты можно указать дни недели и время(например, с 7 часов утра до 5 часов вечера с понедельника по пятницу), когда действия выбранных пользователей будут записываться в журнал аудита или теневого копирования и когда правило оповещения будет срабатывать. Используйте левую кнопку мыши, чтобы выбрать дни недели и время, когда действия выбранных пользователей будут записываться в журнал и когда правило оповещения будет срабатывать. Используйте правую кнопку мыши, чтобы отметить дни недели и время, когда действия пользователей не будут записываться в журнал и когда правило оповещения срабатывать не будет.

• Перевести на английский