Журналы управления клиентом: журнал безопасности

В Журнале безопасности сохраняются сведения о подозрительных операциях, таких как сканирование портов, атаки вирусов и атаки типа отказ в обслуживании. Журнал безопасности - это наиболее важный журнал клиента.

В Журнале безопасности можно выполнить следующие задачи:

Просмотреть события, связанные с безопасностью.
Удалить все записи журнала.
Экспортировать данные журнала в текстовый файл, разделенный символами табуляции, который можно использовать в других приложениях.
Сменить локальное представление на исходное и наоборот. Для просмотра исходных и целевых портов и хостов выберите пункт Исходный вид в меню Вид.
Отфильтровать записи по времени их создания или уровню серьезности.
Определить источник пакетов данных, применявшихся для атаки, проследив их обратный маршрут. Обратите внимание, что не все записи поддерживают обратное прослеживание.
Запретить клиенту блокировать атаки с других компьютеров.

Табл.: Столбцы Журнала безопасности

Столбец	Описание
Дата и время	Задает дату и время регистрации события.
Тип события	Задает тип предупреждения безопасности, например атака типа отказ в обслуживании, исполняемый файл или атака вируса.
Уровень серьезности	Задает уровень серьезности атаки. Предусмотрены следующие варианты: Критический Существенный Несущественный Информация
Направление	Задает направление передачи трафика относительно компьютера клиента: Входящий Большинство атак находятся во входящем трафике, так как они запускаются с другого компьютера. Исходящий Такие атаки как троянские компоненты считаются входящими, так как они предварительно загружаются на локальный компьютер. Неизвестный Трафик, блокированный или удаленный функцией активного ответа или в результате изменения исполняемого файла приложения.
Протокол	Тип протокола. Например: UDP, TCP или ICMP
Удаленный хост или Исходный хост	Хост в текущем представлении. Могут быть показаны следующие поля: Удаленный хост (локальный вид) IP-адрес удаленного компьютера. Исходный хост (исходный вид) IP-адрес исходного компьютера.
Удаленный MAC-адрес или Исходный MAC-адрес	MAC-адрес в текущем представлении. Могут быть показаны следующие поля: Удаленный MAC-адрес (локальный вид) MAC-адрес удаленного компьютера. Если адрес находится в другой подсети, здесь будет указан MAC-адрес маршрутизатора. Исходный MAC-адрес (исходный вид) MAC-адрес исходного компьютера.
Локальный хост или Целевой хост	Хост в текущем представлении. Могут быть показаны следующие поля: Локальный хост (локальный вид) IP-адрес локального компьютера Целевой хост (исходный вид) IP-адрес целевого компьютера.
Локальный MAC-адрес или Целевой MAC-адрес	MAC-адрес в текущем представлении. Могут быть показаны следующие поля: Локальный MAC-адрес (локальный вид) MAC-адрес локального компьютера. Целевой MAC-адрес (исходный вид) MAC-адрес целевого компьютера.
Приложение	Имя приложения, связанного с атакой.
Пользователь	Задает пользователя или компьютер, которые отправили или получили трафик.
Домен пользователя	Имя домена сервера, в котором работает клиент.
Расположение	Расположение, применявшееся в момент атаки. Например: офис, дом или VPN.
Экземпляры	Количество экземпляров метода атаки.
Начальное время	Время начала атаки.
Конечное время	Время окончания атаки.