Три продукта, повышающие оперативность ответных действий
Журналы регистрации событий представляют собой важнейший источник информации для специалистов ИТ, обслуживающих системы Windows. Они могут предупредить о надвигающихся осложнениях либо сигнализировать об аварийных ситуациях в системе безопасности, но только при условии правильного отслеживания информации и оперативного реагирования на возникающие проблемы. Конечно, легче сказать, чем сделать. Каждая система Windows предусматривает как минимум три журнала регистрации — системный журнал, журнал приложений и журнал безопасности. У контроллеров домена количество журналов еще больше ввиду наличия службы каталогов, службы репликации файлов и иногда службы имен DNS. Кроме того, различные компоненты Windows (в частности, IIS, RRAS, DHCP, служба аутентификации доступа в Internet — IAS) также создают журналы регистрации в текстовой форме. Многообразие задач административного управления и поддержки не позволяет рассчитывать на эффективную обработку ценной информации, содержащейся в журналах регистрации, без использования средств отслеживания этой информации и обеспечения оперативной отправки предупреждений. Однако отправка предупреждений представляет собой лишь один из аспектов проблемы обработки журналов регистрации. В рамках обеспечения безопасности, анализа тенденций для планирования нагрузки и решения других задач административного управления часто приходится составлять отчеты и сопоставлять события. В других случаях необходимо архивирование журналов безопасности в рамках обеспечения соответствия требованиям стратегии безопасности либо исполнения требований законодательства, регламентирующего отчетность открытых акционерных компаний. Приступая к сравнительному анализу технологий, следует прежде всего обсудить те функциональные возможности, которыми должен обладать инструмент обработки журналов регистрации событий.
Наличие или отсутствие агента
Интерфейс API систем Windows, используемый всеми программами обработки журналов регистрации событий, предусматривает доступ к журналам других компьютеров сети, аналогичный доступу к журналу локального компьютера. Поэтому нет строгой необходимости в установке компонента, выполняющего посреднические функции, на каждой контролируемой системе. Один процесс способен обрабатывать журналы регистрации событий нескольких систем в сети. Отказ от использования агентов позволяет уменьшить объем работы по выгрузке данных из оперативной памяти и обойтись без установки программного обеспечения на серверах, чьи журналы регистрации подлежат проверке. Это особенно важно, если другие администраторы, обслуживающие такие серверы, не приветствуют установку незнакомых программ.
Однако системы с использованием агентов обладают очевидными преимуществами. Управляющая программа в процессе контроля освобождается от необходимости периодического опроса локальных журналов на предмет наличия новых событий. Вместо этого программа ожидает от оперативной системы предупреждения о регистрации нового события. Таким образом, применение агентов позволяет повысить эффективность использования процессора в зависимости от предполагаемой частоты дистанционного опроса серверов. Кроме того, локальный контроль журналов регистрации событий обеспечивает более оперативную отправку предупреждений, чем контроль в дистанционном режиме. Проверка журналов регистрации по сети также увеличивает сетевой трафик. Если такая проверка осуществляется в пределах локальной сети, сетевой трафик обычно не вызывает проблем, однако проблема может возникнуть при необходимости следить за серверами, которые находятся по другую сторону подключения к глобальной сети.
Отправка предупреждений
Все инструменты обработки журналов регистрации позволяют задавать критерии фильтрации на базе содержимого стандартного поля регистрационной записи, т. е. типа события (информация, предупреждение, ошибка, успех или неудача проверки), пользователя, источника события, категории и т. д. Можно также организовать фильтрацию в зависимости от описания события. Это полезно в случае необходимости формирования предупреждений, отправляемых при появлении заданных кодов ошибки или других символьных строк, фигурирующих в описании события. Для упрощения процесса управления большинство технологий (включая рассматриваемые в этой статье) позволяют группировать фильтры и обрабатывать их как модульную единицу. Существует несколько способов настройки программ на оповещение пользователя о важных событиях. Наиболее широко используется передача предупреждений по электронной почте, однако в некоторых случаях предпочтительна непосредственная передача предупреждения оператору по пейджинговой связи. В таких случаях программе управления журналами регистрации необходим модем для передачи предупреждения на цифровой или буквенно-цифровой пейджер. Большинство пейджинговых служб обеспечивают скоростную доставку сообщений по электронной почте. Однако одним из преимуществ пейджинговой связи с использованием модема и кодового вызова является независимость от электронной почты и Internet. Такой вариант обеспечивает благополучную передачу по пейджинговой связи предупреждения о выходе сети из строя.
Заслуживает внимания вариант отправки предупреждений, предусматривающий ввод команды, выполняемой при обнаружении конкретных событий. Такой вариант предоставляет свободу в составлении сценария, реализующего нужные операции, например повторный запуск службы либо другие действия в рамках автоматизированной процедуры исправлений. Еще более эффективным методом по сравнению с выполнением статической команды в случае регистрации конкретного события является возможность передачи команде конкретизирующей информации о событии (например, идентификатор события и имя пользователя), что позволяет динамическим образом реализовать ответные действия. Такая возможность позволяет также поместить информацию об аварийных ситуациях в систему управления службой поддержки.
С точки зрения интеграции в крупных организациях с действующими системами управления, в которых отсутствует способность следить за журналами регистрации событий в системах Windows, часто высоко ценится возможность встраивания протокола SNMP. Такие компании успешно осваивают продукты, отслеживающие журналы регистрации событий в системах Windows и передающие соответствующие сигналы главной системе управления с использованием ловушек SNMP. Аналогично для систем, работающих под управлением UNIX или Linux, представляет интерес возможность передачи предупреждений на действующий сервер Syslog.
Практически каждая изученная мною технология обработки журналов регистрации реализует определенный метод мгновенной отправки предупреждений — от функций, использующих встроенную в системы Windows службу Messenger (другие названия — Net Send или NetBIOS), до специальных клиентских программ отслеживания наличия предупреждений и формирования соответствующих всплывающих окон. Сообщения во всплывающих окнах предполагают присутствие оператора перед экраном компьютера, однако хорошо известно, что аварийные ситуации чаще всего происходят, когда компьютер остается без присмотра.
Другой режим отправки предупреждений, родственный сообщениям во всплывающем окне, предусматривает использование консоли центрального сбора предупреждений. В случае большого наплыва сообщений об ошибках, приходящих с разных серверов одновременно, не слишком удобно разбираться с ними по пейджинговой связи. Гораздо проще воспользоваться консолью, чтобы в одних случаях принять ответные меры, а в других — подтвердить получение информации о событиях и удалить их. Для любой консоли предупреждений желательно наличие функции ввода записей в свободной форме с информацией о решении проблемы.
Заслуживают внимания еще три функции управления предупреждениями, а именно подавление ложных сообщений, предотвращение избытка предупреждений и отправка предупреждений по достижении порога. Существует два подхода к настройке критерия отправки предупреждений от программы обработки журналов регистрации. Можно организовать поиск конкретных идентификаторов событий с отсеканием многочисленных предупреждений и предупреждений о несущественных ошибках. Более широкий критерий предусматривает предупреждение о любом сообщении или ошибке, кроме тех, которые предписано игнорировать. Последний вариант предпочтительнее, поскольку нельзя предугадать любую возможную ситуацию, требующую внимания. Однако реализация широкого критерия не устраняет возможности получения ложных сообщений о несущественных ошибках. При срабатывании такой отправки предупреждений необходимо обеспечить предотвращение получения соответствующих предупреждений в будущем. Идеальным вариантом является открытие консоли программы обработки журналов регистрации, выбор предупреждения и подавление соответствующего события. Ни одна из рассматриваемых в статье технологий не обладает готовой возможностью подавления. Однако, затратив некоторое время и включив воображение, можно настроить программы на подавление сообщений о несущественных событиях.
Понятие предотвращения избытка предупреждений связано с ситуацией, время от времени возникающей в ходе отслеживания журналов регистрации. Многим читателям, вероятно, приходилось быть свидетелями множества дублированных сообщений об одном и том же событии на протяжении короткого времени. Это происходит, когда программа предпринимает повторные неудачные попытки выполнения задания и регистрирует свои неудачи в журнале событий. Предотвращение избытка предупреждений состоит в запрете оповещения об одном и том же событии чаще, чем, например, каждые 5 минут (можно указать любой другой интервал).
Отправка предупреждений при достижении порога предусматривает настройку схемы проверки журналов на формирование предупреждений только о тех событиях, которые имеют место чаще указанного значения на протяжении заданного интервала. Такая возможность представляет интерес в случае регулярно происходящих событий, не указывающих на наличие проблемы, если это бывает не слишком часто.
Архивирование
Журналы регистрации событий могут пригодиться не только для выявления текущих проблем, но и для проведения статистического анализа за продолжительный период времени. Системы Windows не обладают встроенной возможностью сбора журналов регистрации в определенном месте и их архивирования для долгосрочного хранения. Выполнение этой функции должны облегчить средства обработки журналов регистрации событий. Дополнительное преимущество, которое обеспечивают некоторые технологии, состоит в способности гарантировать неприкосновенность информации в журналах регистрации с использованием цифровой подписи.
Отчетность
Системы Windows успешно обеспечивают сбор информации в журналы регистрации, однако данные — это только данные. Записи, регистрирующие события, не обладают наглядностью и не имеют отформатированного представления. Для систем Windows не предусмотрены собственные функции переработки регистрационных данных в полезную информацию, например в отчеты о неудачной регистрации, о периоде работоспособного состояния системы либо о новых учетных записях пользователей или изменении в составе групп. Хорошая система обработки журналов регистрации имеет заготовки наиболее «ходовых» отчетов и предоставляет пользователю возможность компоновать отчеты с заказной схемой фильтрации и форматированием.
Варианты
На рынке представлен не один десяток технологий обработки журналов регистрации, поэтому в выборе вариантов для сравнительного анализа я руководствовался четырьмя критериями. Во-первых, проверка журналов регистрации должна быть центральной функцией технологии. Необходима поддержка всех журналов регистрации систем Windows, т. е. журналов приложений, системных журналов, журналов безопасности, а также журналов службы каталогов, сервера службы имен DNS и службы репликации файлов. Во-вторых, необходима возможность проверки нескольких компьютеров. В-третьих, должна поддерживаться функция отправки предупреждений по электронной почте в реальном времени. В-четвертых, стоимость продукта не должна выходить за рамки диапазона от 60 до 250 долл. США в расчете на один сервер (для инфраструктуры, обслуживаемой пятью серверами).
Все три технологии обработки журналов регистрации событий, рассматриваемые в данном обзоре, а именно Event Log Management Suite от Dorian Software Creations, EventTracker, Protector Edition от Prism Microsystems и ServScan от Omnitrend Software, удовлетворяют этим минимальным критериям. Два других продукта — Sentry Pro от Infopulse и Sentry II от Engagent — также соответствовали указанным критериям, однако оказались недоступны для анализа. В продукте компании Dorian реализован модульный подход к организации управления журналами регистрации событий, т. е. предложены три отдельные технологии для обслуживания процессов отправки предупреждений, отчетности и архивирования. Это позволяет ограничиться приобретением только необходимых функциональных возможностей. Технология EventTracker, помимо отправки предупреждений, отчетности и архивирования журналов регистрации систем Windows, обеспечивает и некоторые дополнительные функции, выходящие за рамки обработки журналов регистрации. Технология ServScan позволяет отслеживать журналы регистрации событий и формировать предупреждения, однако не обладает возможностями отчетности и архивирования. В табл. 1 приведены сравнительные характеристики упомянутых продуктов.
Пакет Event Log Management Suite
Службы Event Alarm, Event Archiver и Event Analyst, входящие в пакет, способны функционировать как обособленно, так и совместно. Каждая из перечисленных служб реализует надежный подход к соответствующей функции обработки событий. Программа Event Alarm обеспечивает текущий контроль, Event Archiver — архивирование, а Event Analyst — отчетность.
Продукты компании Dorian устанавливаются на одном узле и обеспечивают дистанционную обработку журналов регистрации других узлов. Архитектура пакета предоставляет свободу в решении вопроса об использовании агента, что в сочетании с абсолютной ориентацией на обработку журналов регистрации событий систем Windows обеспечивает множество преимуществ в любом варианте — как с агентом, так и без него. Продукт компании Dorian допускает установку неограниченного числа копий пакета Event Alarm, что позволяет ограничиться отслеживанием трафика локальных сетей вместо выхода в глобальную сеть для опроса серверов на предмет наличия новых событий. При этом для обеспечения единого представления предупреждений все копии программы Event Alarm можно настроить на отправку информации в одну и ту же таблицу базы данных. Точно так же технология Event Archiver может быть развернута на неограниченном количестве серверов локальных сетей. При этом возможен вывод всех архивированных данных на один или более центральных серверов архивирования журналов регистрации. Затем с использованием программы Event Analyst можно формировать централизованную отчетность по данным, собранным программой Event Archiver, как показано на экране 1.
Общий отчет Event Archiver |
Единственным преимуществом, связанным с применением агента, но не реализованным в продуктах компании Dorian, является отказ от необходимости опроса. Программа Event Alarm предусматривает периодический просмотр журналов регистрации на предмет наличия новых событий, тогда как агент, функционирующий на локальном сервере, мог бы приостанавливать процесс проверки до момента получения от системы Windows информации о регистрации нового события.
В рамках решения задачи отправки предупреждений пакет Dorian поддерживает электронную почту, пейджинговую связь и всплывающие сообщения с использованием NetBIOS. Пакет не предусматривает использования консоли отправки предупреждений, однако в программу Event Alarm встроена функция, позволяющая отправлять предупреждения в базу данных Microsoft Access или SQL Server. С помощью технологии Access, создавая форму и отчет, можно за считанные минуты сформировать собственную консоль с функциями уведомления о принятии сообщений и решении проблем. Возможности отправки предупреждений в режиме выполнения команд программа Event Alarm не предусматривает.
Программа архивирования Event Archiver устанавливается на одном сервере, собирает файлы EVT с серверов, указанных администратором, и помещает их на центральный сервер. Производителем предлагается утилита (приобретаемая по запросу), рационализирующая конфигурацию программы Event Archiver в варианте с использованием агентов. Предусмотрен инструмент, позволяющий импортировать информацию о событиях в центральную базу данных. При этом агент программы Event Archiver сначала выполняет сжатие файлов EVT на локальной системе, после чего переправляет файлы по протоколу FTP или как совместно используемые на центральный сервер, где утилита Event Archiver Importer осуществляет сбор импортированных файлов в центральную базу данных. Поддержка протокола FTP и выполнение сжатия позволяют беспрепятственно проводить файлы данных о событиях через сетевые преграды (например, брандмауэры) и соединения с ограниченной пропускной способностью (например, подключения к другим офисам через глобальную сеть). Информацию, помещенную в центральную базу данных Access, Oracle или SQL Server, можно анализировать с помощью программы Event Analyst или другого инструмента централизованной отчетности.
Программа Event Analyst предусматривает множество готовых отчетов о широко распространенных событиях, например о неудачной регистрации. Программа позволяет формировать детализированные отчеты или сводки и не требует использования языка SQL. Предоставляется также ссылка на ресурсы подключенной к глобальной сети информационной базы по журналам регистрации, содержащей дополнительные сведения о событиях с конкретными идентификаторами.
Инструмент Event Analyst предназначен исключительно для составления отчетов по журналам регистрации событий, поэтому приятно удивляет, насколько хорошо в продукте компании Dorian реализован модульный подход. Я ошибочно полагал, что программа Event Analyst не сможет выполнять функции централизованного инструмента отчетности без установки программы Event Archiver, обеспечивающей создание центральной базы данных. Безусловно, программа Event Analyst работает быстрее при взаимодействии с базой данных Access или SQL Server, однако строгой необходимости в ее наличии нет. Обработку отчетов можно осуществлять с использованием групп файлов EVT или групп действующих журналов регистрации, создаваемых на локальных компьютерах. Это обеспечивает большую гибкость отчетности, так как позволяет либо отчитываться по произвольному количеству архивированных журналов или по компьютерам, не охваченным программой Event Archiver, либо выполнить специальную форму отчетности. Наконец, программа Event Analyst позволяет планировать регулярные отчеты с автоматизированной доставкой в форме электронных сообщений указанным получателям.
EventTracker
Архитектура EventTracker полностью ориентирована на использование агентов. Возможно, это обусловлено наличием дополнительных функциональных возможностей.
Программа EventTracker поддерживает множество вариантов отправки предупреждений, использующих электронную почту, выполнение команд, связь по протоколу SNMP и всплывающие сообщения. Для принятия всплывающих сообщений программа EventTracker предусматривает необходимость открытия компонента RemoteViewer. Из трех рассматриваемых технологий только программа EventTracker предлагает консоль для подтверждения приема предупреждений и создания записей о решении проблем. Продукт EventTracker также является единственным вариантом, обеспечивающим отправку предупреждения при достижении порога.
Агент программы EventTracker направляет журналы регистрации локальных серверов в формате EVT на центральный сервер. Другой вариант — архивирование журналов на локальных серверах и назначение хеш-кодов MD5 для гарантии неприкосновенности информации после архивирования. Используя оригинальный протокол уровня приложения, агент EventTracker направляет информацию о событиях на центральную консоль, где можно формировать отчеты. Консоль можно настраивать на использование протокола UDP или TCP, в зависимости от того, требуется уменьшить нагрузку на сеть (UDP) или обеспечить гарантированную доставку сообщений о событиях (TCP). Порты описаны в документации, что позволяет при необходимости передавать данные через брандмауэры.
Программа EventTracker предусматривает готовые отчеты для часто повторяющихся событий. Технология позволяет создавать детализированные отчеты и сводки и не требует использования языка SQL. Предоставляется ссылка на ресурсы подключенной к глобальной сети информационной базы по журналам регистрации, содержащей дополнительные сведения о событиях с конкретными идентификаторами.
Журналы, проверяемые EventTracker |
Помимо отслеживания журналов регистрации событий (см. экран 2), технология EventTracker имеет много других встроенных функций контроля, позволяющих создавать отчеты об использовании дисков и процессора, о пространстве на диске, установке программ, службах, работоспособности Web-сайтов, времени работоспособного состояния и простоя систем. Кроме того, программа поддерживает двустороннюю связь по протоколу SNMP для контроля и формирования сообщений SNMP в качестве дополнительного варианта отправки предупреждений. Наконец, программа позволяет планировать регулярные отчеты с автоматизированной доставкой по электронной почте заданным получателям.
ServScan
Программа ServScan предназначена исключительно для мониторинга журналов регистрации событий и обеспечения отправки предупреждений и не предусматривает формирования отчетов или архивирования журналов. Продукт полностью работает без использования агентов и позволяет дистанционно обрабатывать журналы с узла, на котором установлено данное программное обеспечение. Возможно создание групп серверов и правил отправки предупреждений, что освобождает от необходимости повторного определения логики формирования предупреждений.
Настройки пейджера в ServScan |
Программа ServScan поддерживает всплывающие сообщения NetBIOS и является единственным из трех вариантов, рассматриваемых в рамках данного сравнительного анализа, который обеспечивает все режимы предотвращения избытка предупреждений. Другая отличительная черта программы ServScan — полная поддержка прямой пейджинговой связи через модем, позволяющей отправлять буквенно-цифровые или только цифровые сообщения (см. экран 3). К сожалению, в ходе проведенного мной испытания программа демонстрировала частые аварийные отказы графического интерфейса пользователя. Однако со службой, выполняющей фактический текущий контроль, проблем не возникло.
Рекомендации
Учитывая стоимость — 60 долл. за сервер, программу ServScan сложно рекомендовать исключительно в качестве инструмента текущего контроля и отправки предупреждений. Заплатив немного больше, за счет технологии Event Alarm можно получить гораздо более широкие возможности проверки и способность пересылать предупреждения в базу данных. Поэтому выбор в основном сводится к рассмотрению двух вариантов — технологии EventTracker и пакета компании Dorian. Трудно давать рекомендации в пользу какого-либо из этих продуктов, в каждом из которых воплощен немалый труд разработчиков, да и стоимость их одинакова. Оба инструмента просты в установке и обращении. Каждый обладает уникальными возможностями, достойными высокой оценки. Модульная архитектура Dorian предоставляет свободу в решении вопроса об использовании агента и позволяет составлять отчеты по многочисленным журналам регистрации событий без использования центральной базы данных. EventTracker обладает множеством дополнительных функциональных возможностей, выходящих за рамки обработки журналов регистрации событий, включая проверку файлов журналов в текстовой форме, счетчиков рабочих характеристик, сетевых портов и системных служб, однако эти возможности лежат за рамками данного сравнительного анализа.
Для интеграции действующей технологии управления журналами регистрации событий с другими технологиями контроля (или системами, работающими под управлением UNIX или Linux) либо при необходимости контроля маршрутизаторов и других устройств решающее значение может иметь поддержка протоколов SNMP и Syslog, которую обеспечивает технология EventTracker. Однако для реализации оптимальной комбинации средств отправки предупреждений, отчетности и архивирования журналов регистрации событий очевидны преимущества пакета Dorian. Мы не коснулись в статье продуктов, ориентированных преимущественно на обработку журналов безопасности. Тем читателям, чьи интересы лежат в этой области, рекомендуем рассмотреть варианты из списка, приведенного в табл. 2.
Общие сведения
Пакет Event Log Management Suite
Контактная информация:
Dorian Software Creations.
Адрес в глобальной сети:
http://www.doriansoftware.com
Цена: 999 долл. за лицензию, рассчитанную на инфраструктуру, обслуживаемую пятью серверами.
Достоинства: инновационная архитектура предусматривает независимое существование модулей архивирования, отчетности и отправки предупреждений, что позволяет приобретать только необходимые функциональные возможности. При желании в будущем можно интегрировать и другие функции. Использование агентов необязательно.
Недостатки: отсутствие возможностей EventTracker (например, поддержки протокола SNMP).
Оценка по пятибалльной шкале: 4,5.
Рекомендации: оптимальный вариант технологии обработки журналов регистрации событий.
Технология EventTracker, Protector Edition
Контактная информация:
Prism Microsystems.
Адрес в глобальной сети:
http://www.eventlogmanager.com
Цена: 999 долл. за лицензию, рассчитанную на инфраструктуру, обслуживаемую пятью серверами.
Достоинства: программа EventTracker предусматривает множество дополнительных возможностей, помимо трех центральных функций обработки журналов регистрации событий — отправки предупреждений, архивирования и отчетности.
Недостатки: наличие дополнительных функциональных возможностей сопровождается необходимостью организации агента на каждом проверяемом сервере.
Оценка по пятибалльной шкале: 4.
Рекомендации: ценное приобретение по указанной цене, особенно при необходимости проверки других компонентов Windows, помимо журнала безопасности, и отсутствии возражений против установки агента на каждом сервере.
Технология ServScan
Контактная информация:
Omnitrend Software.
Адрес в глобальной сети:
http://www.omnitrend.com.
Цена: 299 долл. за лицензию, рассчитанную на 5 серверов.
Достоинства: если инфраструктура электронной почты не функционирует и необходима независимая надежная пейджинговая связь, программа ServScan — подходящий вариант.
Недостатки: технология ServScan обеспечивает только функции отправки предупреждений и не предусматривает выполнение архивирования и создание отчетности.
Оценка по пятибалльной шкале: 2.
Рекомендации: при указанной стоимости технологии, составляющей 60 долл. за сервер, разумно рассмотреть продукты, обладающие более основательными функциональными возможностями, например Event Alarm.
Редактор Windows IT Pro и ведущий инструктор и разработчик курсов для программы по безопасности Windows NT/2000 института MIS Training. Его компания, Monterey Technology Group, занимается консалтингом в области информационной безопасности. Связаться с ним можно по адресу: rsmith@monterey techgroup.com