1 / 11

Мониторинг журналов событий с помощью сценариев WMI

Мониторинг журналов событий с помощью сценариев WMI. А.В. Попов ( wmi _ popov @ mail . ru ) Мордовский госуниверситет, Саранск Е.А. Шикин ( shikinea @ mail . ru ) Мордовское отделение Сбербанка, Саранск. Конференция «Технологии Microsoft в теории и практике программирования»,

mathilde-martinez
Download Presentation

Мониторинг журналов событий с помощью сценариев WMI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Мониторинг журналов событий с помощью сценариев WMI А.В. Попов (wmi_popov@mail.ru) Мордовский госуниверситет, Саранск Е.А. Шикин (shikinea@mail.ru) Мордовское отделение Сбербанка, Саранск Конференция «Технологии Microsoft в теории и практике программирования», МГУ им. М.В.Ломоносова, Москва, 4-5 марта 2004 г.

  2. План доклада • Журналы событий Windows и информационная безопасность • Стандартные средства работы с журналами событий • Технология Windows Management Instrumentation (WMI) как инструмент обработки и анализа событий событий • WMI-утилита EventRegister.hta для мониторинга журналов событий • Источники информации по WMI

  3. Журналы событий Windowsи информационная безопасность • Старт операционной системы • Вход в систему пользователя • Запуск процессов • Использование привилегий • Изменение политик безопасности

  4. Обработка журналов событий • Анализ имеющихся записей о событиях • Автоматическая обработка возникаю-щих событий определенного типа

  5. Стандартные средства работы с журналами событий (WindowsXP) • Оснастка MMC "Просмотр событий"

  6. Стандартные средства работы с журналами событий (WindowsXP) • VBScript-утилита EventQuery.vbs (используется WMI)

  7. Стандартные средства работы с журналами событий (WindowsXP) • Исполняемая утилита EventTriggers.exe (используется WMI)

  8. Общая схемаWMI УПРАВЛЯЕМЫЕ РЕСУРСЫ Системный реестр (Registry) Журнал событий (Event Log) ... Подсистема Win32 Registry API Event Log API Win32 API Провайдер реестра (Registry provider) Провайдер журнала событий (Event Log provider) Провайдер подсистемы Win32 (Win32 provider) ЯДРО WMI ... Репозиторий CIM (CIM repository) WMI API WMI API WMI API CIMOM(служба WMI) Библиотека поддержки сценариев WMI (WMI Scripting Library) WMI COM API WMI ODBC Adapter УПРАВЛЯЮЩИЕ ПРОГРАММЫ Сценарии WMI Приложения Win32 Приложения БД

  9. Обработка событий с помощью WMI Журнал событий (Event Log) Новая запись о событии Фильтр событий (WQL-запрос) Запуск приложения Запись в текстовый файл Отправка сообщения по SMTP

  10. Утилита EventRegister.hta

  11. Источники информации по WMI • Книга "Windows 2000 Scripting Guide", примеры сценариевWMIhttp://www.microsoft.com/technet/scriptcenter • Сайт "Технологии администрирования Windows" (информация по WMI, WMIC, ADSI, WSH) http://admtech.mrsu.ru • А.В.Попов,Е.А.Шикин. Администрирование Windows с помощью WMI и WMIC. - СПб.: БХВ-Петербург, 2004. - 752 с.

More Related