Мониторинг журналов событий с помощью сценариев WMI А.В. Попов (wmi_popov@mail.ru) Мордовский госуниверситет, Саранск Е.А. Шикин (shikinea@mail.ru) Мордовское отделение Сбербанка, Саранск Конференция «Технологии Microsoft в теории и практике программирования», МГУ им. М.В.Ломоносова, Москва, 4-5 марта 2004 г. План доклада Журналы событий Windows и информационная безопасность Стандартные средства работы с журналами событий Технология Windows Management Instrumentation (WMI) как инструмент обработки и анализа событий событий WMI-утилита EventRegister.hta для мониторинга журналов событий Источники информации по WMI Журналы событий Windows и информационная безопасность Старт операционной системы Вход в систему пользователя Запуск процессов Использование привилегий Изменение политик безопасности Обработка журналов событий Анализ имеющихся записей о событиях Автоматическая обработка возникающих событий определенного типа Стандартные средства работы с журналами событий (Windows XP) Оснастка MMC "Просмотр событий" Стандартные средства работы с журналами событий (Windows XP) VBScript-утилита EventQuery.vbs (используется WMI) Стандартные средства работы с журналами событий (Windows XP) Исполняемая утилита EventTriggers.exe (используется WMI) Общая схема WMI Системный реестр (Registry) Журнал событий (Event Log) Registry API Event Log API Провайдер реестра (Registry provider) Провайдер журнала событий (Event Log provider) WMI API WMI API ... Подсистема Win32 УПРАВЛЯЕМЫЕ РЕСУРСЫ Win32 API ... Провайдер подсистемы Win32 (Win32 provider) ЯДРО WMI WMI API Репозиторий CIM (CIM repository) CIMOM (служба WMI) Библиотека поддержки сценариев WMI (WMI Scripting Library) WMI COM API WMI ODBC Adapter Сценарии WMI Приложения Win32 Приложения БД УПРАВЛЯЮЩИЕ ПРОГРАММЫ Обработка событий с помощью WMI Новая запись о событии Журнал событий (Event Log) Фильтр событий (WQL-запрос) Запуск приложения Запись в текстовый файл Отправка сообщения по SMTP Утилита EventRegister.hta Источники информации по WMI Книга "Windows 2000 Scripting Guide", примеры сценариев WMI http://www.microsoft.com/technet/scriptcenter Сайт "Технологии администрирования Windows" (информация по WMI, WMIC, ADSI, WSH) http://admtech.mrsu.ru А.В.Попов, Е.А.Шикин. Администрирование Windows с помощью WMI и WMIC. - СПб.: БХВПетербург, 2004. - 752 с.