Программа просмотра событий
В этом разделе:
См. соответствующее видео (10:12)
Для открытия диалога "События" перейдите в меню Вид и выберите Управление приложениямиСобытия . Иначе вы можете выбрать Показать события в редакторе конфигураций Управление приложениями.
Данные событий будут собираться после того, как компьютер будет выполнять проверку по интервалам, указанным в общих настройках политики агентов. Если вы пожелаете получить данные до этой проверки, перейдите в Вид > Компьютеры > выделите компьютеры и нажмите правой кнопкой мыши, а затем выберите Application Control > Получить события, и процесс немедленно выполнит задание.
В диалоге Показать события отображаются все события Управление приложениями, как это настроено в Управление приложениямиредакторе конфигураций > События > Выбор/Фильтрация.
Используйте этот вид для запуска запросов по конкретным созданным событиям аудита для Управление приложениями.
Отображение запросов
Вы можете выполнять запросы для следующих предварительно определенных событий или создавать особые запросы:
- Все типы событий
- Запрещенные исполняемые файлы
- Разрешенные исполняемые файлы
- Самоавторизация
- Управление привилегиями
- Обнаружение привилегий
- Самоповышение доверия
- Управление браузером
Выполнить запрос - выберите для запуска выполнения запроса. Если вид, фильтры или включенные типы событий были изменены, вы должны повторить запрос для обновления результатов.
После запуска запроса вы можете настроить вид для группирования, фильтрации или сортировки событий, а результаты можно экспортировать в формате CSV.
Существует несколько способов настройки вида:
- Применяйте фильтры для поиска событий.
- Используйте функцию Поиск для отображения только тех событий, которые соответствуют вашим критериям поиска.
- Изменяйте порядок расположения столбцов, щелкнув заголовок любого из них и переместив в новое местоположение.
- Сортируйте информацию в столбце в возрастающем и убывающем порядке, нажав заголовок столбца.
- Применяйте другие расширенные фильтры к одному или нескольким столбцам. Поместите указатель мыши на заголовок столбца и затем нажмите значок фильтра, находящийся в верхнем правом углу.
Сохранить - выберите для сохранения любых изменений особого запроса.
Сохранить как - сначала нужно выбрать Выполнить запрос для активации параметра Сохранить как. Выберите для сохранения результатов в виде нового особого запроса - введите имя запроса, и оно появится в раскрывающемся списке "Вид".
Управлять - выберите для отображения списка всех специальных запросов, в котором вы можете выбрать запрос для переименования или удаления.
Включенные типы событий
Доступные типы событий зависят от выбранного Вида.
Полный список события для Управление приложениями можно найти здесь: Доступные события.
Если вы используете специальный вид, вы можете выбрать включаемые типы событий, используя элемент Изменить для отображения диалога выбора.
Запомните, какие включенные типы событий изменены, и вам нужно выполнить запрос еще раз.
Фильтры
Вы можете изменить запрос с помощью следующего:
- Временной диапазон - используется для выбора диапазона времени: 10 минут, 1 час, 6 часов, 24 часа, неделя или месяц. Этот параметр также используется для создания особого периода времени.
- Пользователь - отображает только события, созданные для конкретного пользователя.
- Компьютер - отображает только события, созданные с использованием конкретных имен компьютеров или имен клиентов.
- Только сводка - применяется только к видам запрещенных и разрешенных исполняемых файлов. Если выбрано, результаты группируются по путям файлов и идентификаторам событий.
Не забудьте запустить запрос еще раз после обновления любого из фильтров.
Поиск
Чтобы начать поиск, нужно ввести искомый текст и нажать Найти. Будут отображены только события, которые соответствуют критерию поиска – все другие будут скрыты.
- Средство поиска работает только с текущей отображенной информацией. Вы можете нажимать правой кнопкой мыши заголовки столбцов для добавления или удаления столбцов из процесса поиска.
- Если используется какой-либо фильтр, будут отображены только обновления, которые соответствуют критерию поиска и фильтру.
- Отображаются все найденные частичные соответствия.
- Поиск не зависит от регистра ввода.
- Использование символов-шаблонов в средстве поиска не допускается.
- Чтобы очистить критерии поиска, нажмите значок , расположенный на правой стороне поля поиска.
Если поле поиска не отображено, нажмите правой кнопкой мыши в заголовке столбца вида "Результаты" и в контекстном меню выберите Показать панель поиска.
Результаты
Результаты запроса отображаются на нижней панели после выбора Выполнить запрос.
Перечисленные события можно перемещать, копировать и вставлять для создания элементов правил, а именно, путей файлов, имен файлов, папок или хэширования файлов для следующего:
- Коллекции правил
- Наборы правил > Управление исполняемыми файлами > Разрешено/Запрещено
- Наборы правил > Управление привилегиями > Приложения/Самоповышение доверия
- Перейдите в редактор конфигураций Управление приложениями, в котором нужно создать элемент правила. Например, "Наборы правил > Все > Управление исполняемыми файлами > Разрешено".
- В диалоге средства просмотра событий выберите нужные события и скопируйте или переместите их назад в диалог "Разрешено".
- Выполните вставку для отображения диалога Выберите тип элемента правил".
- Выберите тип элементов, который вы хотите создать - путь файла, имя файла, папку или хэш файла.
- Элементы правил будут добавлены.
Экспорт данных - выберите для экспорта данных текущего вида в формате CSV - вы можете выбрать экспорт данных только текущих выбранных или всех столбцов.
Показывать редактор фильтров - выберите для добавления фильтров к результатам запроса.
Выберите столбец - выберите для настройки того, какие столбы будут отображаться в результатах запроса.
Контекстное меню результатов
Нажмите правой кнопкой мыши в заголовке столбца для отображения контекстного меню, в котором можно выполнить ряд дополнительных действий.
- Сортировка по возрастанию: сортирует выбранный столбец по возрастанию.
- Сортировка по убыванию: сортирует выбранный столбец по убыванию.
- Очистить сортировку: очищает критерии сортировки по возрастанию или по убыванию, установленные в настоящее время для столбца.
- Группировать по этому столбцу: группирует список с использованием данных в выбранном столбце. Один разворачиваемый список будет создаваться для каждого возможного значения столбца.
- Показывать панель группирования / Скрыть панель группирования: отображает или скрывает область над заголовками столбцов, содержащую поля "Группировать по". Одно поле "Группировать по" будет отображаться для каждого заголовка столбца, для которого в настоящее время включен параметр Группировать по этому столбцу. Вы также можете переместить заголовки столбцов в эту и из этой области.
- Показывать выборщик полей: позволяет вам добавлять и скрывать информацию в таблице. После выбора элемента Показывать выборщик полей появится диалог Выборщик столбцов. Этот диалог используется для указания доступных столбцов, которые необходимо отображать в таблице. Если в диалоге вы нажмете и переместите элемент списка в новую позицию, порядок столбцов в таблице будет изменен.
- Подходящий размер: изменяет ширину выбранного столбца, чтобы текст его заголовка занимал оптимальное место.
- Подходящий размер (все столбцы): используется для изменения ширины всех столбцов, чтобы текст их заголовков занимал оптимальное место.
- Редактор фильтров: в диалоге Редактор фильтров будут отображены любые расширенные фильтры, которые в настоящее время активны в заголовках столбцов. Вы можете использовать редактор для изменения существующих критериев фильтрации и создания новых критериев, использующих доступные условные и логические операторы фильтрации.
Если вы выполните это действие с любым из последующих столбцов, эти данные будут представлены как вложенные группы со всеми более низкими уровнями в списках.
Если включен параметр Показывать панель группирования, также в области над заголовками столбцов будут отображены поля "Группировать по".
Совет: Для выключения функции Группировать по этому столбцу и восстановления оригинального вида: включите Показывать панель группирования, нажмите правой кнопкой мыши каждое поле Группировать по и выберите Отменить группирование, а затем нажмите правой кнопкой мыши заголовок столбца и выберите Скрыть панель группирования.
Таблица будут сгруппирована в соответствии с данными поля. Если есть два или более полей, то группирование будет вложенным с представленным левым полем на верхнем уровне, вторым полем на втором уровне и т.д.