Сегодня мы будем станавливать систему сбора системных журналов Windows, естественно ДО настройки по данному руководству Вам нужно включить журналирование необходимых операций, например запуска процессов и т.п. Также предполагается что у Вас сервера называются

• Сбор системных журналов, упаковка
• Закачка на фтп, объединение данных из разных точек (филиалов)
• Объединение данных в единую базу, упаковка, хранение и архивирование базы
• Оповещение по почте о критическом количестве неверных входов (подбор пароля, вирус сканирует сеть)
• Рассылка списков запущенных программ по всей компании (с белым списком игнорирования - офис и т.п.)
• Запросы к базе, поиск событий в архиве (например время включения\выключения ПК в течение месяца)

Пример отчёта по запускаемым программам

Итак приступим. Система состоит из трёх частей, а именно

• Сбор журналов
  • сбор с ПК
  • закачка на ФТП
  • скачка с ФТП, перепаковка
• Ежедневная обработка журналов, оповещения
  • Отчёт по запущенным процессам
  • По неверным входам
• Архивирование журнлов
  • Перепаковка и архивирование для сброса ни диск старых журналов (раз в год\раз в пл года)

1) Сбор системных журналов Windows

Как ни странно данный пункт является самым сложным и имеющим самое большое количество ваиантов, одни должны применяться в сетях где на ПК по одному процессору и их может "выключить" пользователь (на самом деле не успеет, конечно), другие более безопасны и незаметны но загружают процессов, зато не требую особой сетевой шары без авторизации. В общем приведу несколько вариаций. Подчерку что все варианты собирают только "новые" события, которые ранее собраны небыли.

1.1.1 Сбор через DUMPEVT.exe (http://ptraffer.ru/downloads/events_upload_domain_manual.rar)

Способ подходит для доменной сети небольшого офса, сбор никак не скрывается, скрытые из сети ПК не опрашиваются. В общем обрабатываются только те ПК которые видны в сетевом окружении. Подключение происходит от текущего пользователя - так что запускаем от доменного администратора, чтобы потом не мучаться. Также подчеркну что архивы не будут теряться если скажем нет онтернета - они будут собираться и как только интернет появится все будут закачаны. В общемподобные ситуации действительно продуманы, например пользователь отключил ПК от сети, а затем запустил программу - всёравно данные будут в дальнейшем получены.

После запуска у нас появляется папка EVENTS, и в ней необходимые журналы в текстовом виде.

То, что процесс завершон вы сможете поняль по отсутствию процесса wscript.exe (или cscript.exe) - соответствено чтобы форсировать остановку убиваем вышеуказанный процесс.

В шедулер домен-контроллера раз в три часа, начиная с ноля, добавляем events_upload_domain.vbs

указав в строке

WshShell.Run "ncftpput\ncftpput -u ftp_user_name -p ftp_user_pass -m -DD -R ftp.mysite.ru / " & chr(34) & szPath & "\*.7z" & chr(34), 1, True

Необходимые параметры подключения к ФТП-серверу.

Всё, первый вариант готов к сбору - просто, не правда ли )

1.1.2 Сбор из базы ПК в AD + из сетевого окружения (http://ptraffer.ru/downloads/filials_event_zaliv_domain(anon share).rar)

Данный способ через WMI запускает DUMPEVT.EXE на ПК пользователя, это более гуманный способ т.к. можно регулировать приоритет процесса, а также его не видно через всякие NetWatcher-ы, минус состоит в том что необходима специальная шара, в которую сможет писать процесс запусщенный от SYSTEM-а на доменном ПК. Например это самбовская шара на какой-то никсовой система без авторизации, или же на недоменном ПК обычная.

Реализована защита от распространения вирусов, т.е.еслиодин из ПК в сети заражает исполняемые файлы (не Ваш, конечно), то другие не пострадают.

Отличительным свойстом данного метода также является одновременный асинхронный сбор журнаов сразу с нескольких ПК. Это означает что количество процессов на ПК может доходит до 200-300 в сети с 500 ПК. Это нормальное поведение т.к. такое количество последовательно опросить просто нереально по времени - проверено.

Другим свойством является водключение к ПК через пользователя, отличного от текущего. Данныепо этому пользователю и ФТП-аользователю указываются в скрипте - просмотрите его и вопросов возникнуть не должно.

2) Ежедневная обработка журналов, оповещения

Размышлений о опытов по технологии хранения журналов было довольно много - от базы данных, до специализированного дедуплицирующего хранилища вроде базы данных с кучей связанных таблиц. Скажу сразу что всё это работает, но есть некая очевидная зависимость между сложностью структуры (т.е. временем сохранения и чтения данных) и её объёмом. Например в SQL данные сохраняются довольно бодро, но т.к. они являются плайн-текстом объёмом от 2 ГБ в день(!), то хранение данных за 6 месяцев уже, мягко говоря, требует лишних ресурсов. Сложная таблица со связанными подзапросами для удаления дублирующихся слов и описаний событий этот вопрос в какой-то степени решает, но скорость добавления примерно 100 килобайт данных в секунду, в общем был выбран другой вариант - подобран архиватор для текстовых данных (7z с алгоритмом PPMD выдаёт просто астрономические результаты!).

2.1 Собственно сбор ()

...продолжение следует....

Итак - сканирование пользовательских ПК на наличие баз 1С, причины думаю очевидны

1) Запускаем 1_dump_pc's_from_AD.vbs -> в файле PC.txt получаем свежий список ПК в AD
2) Запускаем 2_scan.vbs в контексте пользователя с правами локального администратора на пользовательских ПК

- файл вида "03.03.2011_13_42_offline.txt" содержит ПК которые в оффлайне, если была ошибка то её описание (для повторного сканирования)
- файл вида "03.03.2011_13_42_online.txt" содержит пути к файлам баз в формате

Имя ПК            размер файла    путь к файлу

WKS1094    262144        c:\documents and settings\...\мои документы\infobase\1cv8.1cd
WKS3008    262144        c:\documents and settings\...\мои документы\infobase\1cv8.1cd
WKS3008    270336        c:\documents and settings\...\мои документы\infobase1\1cv8.1cd


Соответственно если размер основного файла базы (почтового архива) 250 килобайт значит он\она пусты(?)

Предполагается что после первого первого "прогона" все офф-лайн ПК будут скопированы в "PC.txt" заново для повторного сканирования.

Дабы не потерять данные - имена логов содержат текущее время.

Итоги работы ниже

Далее код

1_dump_pc's_from_AD.vbs

============================================

option explicit

dim dLastMessageDate, szLastIniFileName, szLastIniData, nLastRecordNumber, szStrTmp, szStrTmp2, szArchiverPath
Dim objFolder, objWMI, objEvent, j, strIniFileName, k, bWasError, fLogFile
Dim intEvent, intNumberID, intRecordNum, colLoggedEvents, objInstalledLogFiles, objLogfile
Dim WshShell, FSO, WshNetwork, Shell, objItem, objSubItem, szPath, objFolderNetwork, szPCname, szCurFilePC, szCurDomain, Dict, objConnection, objCommand, objRecordSet, i
dim d, WshArg

Set WshArg = WScript.Arguments
Set WshShell = CreateObject("WScript.Shell")
Set FSO = CreateObject("Scripting.FileSystemObject")
Set WshNetwork = CreateObject("WScript.Network")
Set Shell = CreateObject("Shell.Application")
Set Dict = CreateObject("Scripting.Dictionary")

const bDebugMode = true





strIniFileName = FSO.GetParentFolderName(Wscript.ScriptFullName) & "\Events.ini"

If ScriptHost <> "cscript.exe" Then
CreateObject("WScript.Shell").Run "cmd /c start /wait /max cscript.exe " & Chr(34) & WScript.ScriptFullName & Chr(34), 0, True
Wscript.quit
End If


on error resume next
szCurDomain = split(Replace(GetObject("LDAP://rootDSE").Get("defaultNamingContext"), "DC=", "",1,-1,vbTextCompare),",")(0)

if err then
WshShell.popup "Ошибка получения имени домена", 15, WScript.ScriptName , 0
errr.clear
end if

wscript.echo "Gathering from Shell..."

For Each objItem In Shell.NameSpace("::{208D2C60-3AEA-1069-A2D7-08002B30309D}").Items().Item("EntireNetwork").GetFolder.Items()
If objItem.Name = "Microsoft Windows Network" Then
Set objFolderNetwork = objItem.GetFolder
End If
Next


on error goto 0

wscript.echo "Ок - found " & dict.count & " computers."

i = dict.count

wscript.echo "Gathering from AD..."

Const ADS_SCOPE_SUBTREE = 2

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand =   CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"

'msgbox "Определён домен - " & szCurDomain

Set objCOmmand.ActiveConnection = objConnection
objCommand.CommandText = "Select Name, Location from 'LDAP://DC=" & szCurDomain & ",DC=int' " & "Where objectClass='computer'" 
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst

on error resume next

Do Until objRecordSet.EOF
if not dict.exists(ucase(objRecordSet.Fields("Name").Value)) then
Dict.Add ucase(objRecordSet.Fields("Name").Value), ""
end if
objRecordSet.MoveNext
Loop

on error goto 0

wscript.echo "Ок - added " & dict.count-i & " new computers."
wscript.echo "Overall count -  " & dict.count & "."
wscript.echo ""

Dim strComputer, objRemoteServices, objShare, objInParam, objOutParams, file

Set file = fso.CreateTextFile("PC.txt", 2)


for i=0 to dict.count-1



strComputer = Dict.Keys()(i)


wscript.echo strComputer & vbtab & " - " & i & "\" & dict.count & " - saving..."

if left(strComputer, 1) <> "S" then 'не показываем все ПК начинающиеся на ... - фильтруем сервера
file.writeline strComputer
end if



next

file.close



wscript.quit



Function ScriptHost()
ScriptHost = LCase(Mid(Wscript.FullName, Len(Wscript.Path) + 2))
End Function

============================================

2_scan.vbs

============================================

option explicit

Dim TextStream,szCurPC, FSO,file,file2, bFounded



set FSO = CreateObject("Scripting.FileSystemObject")
const my_ini_file="PC.TXT"


If ScriptHost <> "cscript.exe" Then
CreateObject("WScript.Shell").Run "cmd /c start /wait /max cscript.exe " & Chr(34) & WScript.ScriptFullName & Chr(34), 0, True
Wscript.quit
End If

Set TextStream = FSO.GetFile(my_ini_file).OpenAsTextStream(1)

Set file = fso.CreateTextFile( date & "_" & hour(time()) & "_" & minute(time()) & "_online.txt", 8,True)
Set file2 = fso.CreateTextFile( date & "_" & hour(time()) & "_" & minute(time()) & "_offline.txt", 8,True)

While Not TextStream.AtEndOfStream

szCurPC=""

szCurPC = TextStream.ReadLine()

'if bFounded then
fExtractEvents szCurPC
'end if
'wscript.echo szCurPC

'если надо - продолжаем с...
'if "WKS4023"=szCurPC then bFounded=true

Wend


wscript.quit


sub fExtractEvents(strComputer)

dim objWMIService

If WMIPing (strComputer)  or strComputer="." Then     

on error resume next

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
wscript.echo "Processing " & strComputer

if err then
file2.writeline strComputer & err.description
exit sub
end if

on error goto 0

dim colItems,objItem

const wbemFlagReturnWhenComplete=0

Set colItems = objWMIService.ExecQuery( "SELECT * FROM CIM_Datafile WHERE Extension = 'pst' OR Extension = '1cd' OR Extension = 'md'", , wbemFlagReturnWhenComplete)

'   ********* Контрольная точка

For Each objItem in colItems
if instr(1,lcase(objItem.Name),"\application data\")=0 or lcase(right(objItem.Name,4))=".pst" then
if len(cstr(objItem.filesize))<8 then
file.writeline objItem.CSName & vbtab & objItem.filesize & vbtab & vbtab & objItem.Name
else
file.writeline objItem.CSName & vbtab & objItem.filesize & vbtab & objItem.Name
end if
end if
Next

Else
wscript.echo "Offline " & strComputer

file2.writeline strComputer

End If


end sub


Function WMIPing(strAdr)
Dim objPing
Dim objStatus
Set objPing = GetObject("winmgmts:{impersonationLevel=impersonate}").ExecQuery("select * from Win32_PingStatus where address = '" & strAdr & "'")
For Each objStatus In objPing
If IsNull(objStatus.StatusCode) Or objStatus.StatusCode <> 0 Then
WMIPing = False
Else
WMIPing = True
End If
Next
End Function

Function ScriptHost()
ScriptHost = LCase(Mid(Wscript.FullName, Len(Wscript.Path) + 2))
End Function

============================================

Сегодня очень важно сохранить в целости и сохранности свои данные, появилась необходимость быть уверенным в том, что твоя сеть работает успешно, потоки идут в обоих направлениях, и все фреймы доходят вовремя и полностью.

Что же делать, если вдруг появляется ощущение, что в работе сети появилась какая-то неразбериха?

На сегодняшний день в Сети существует великое множество самых разнообразных программ, выполняющие задание средства защиты информации.

Особенно широкое распространение получили различные анализаторы трафика, так называемые, снифферы. Давайте разберем, что такое сниффер?

Сниффер – это программа, цель которой перехват сетевого трафика с последующим анализом, предназначаемый для других сетевых узлов.

Само слово «сниффер» определяет суть работы программы – прослушивание, в данном режиме и происходит перехват чужих пакетов.Такая возможность – перехват трафика – осуществляется путем

1) прослушивания сетевого интерфейса, к примеру, если ваша сеть построена при помощи концентраторов (важно помнить, что при использовании свитчей функциональность снизится – сниффер сможет перехватить лишь некоторые фреймы)

2) подключения данной программы в разрывы каналов

3) ответвления трафика на сниффер (аппаратное или программное).

Какова же основная цель данных снифферов – средства защиты информации?  Благодаря этим программам, есть возможность отследить вирусный трафик, обнаружить  вредоносное программное обеспечение, трояны, сетевые сканеры. Также возможен перехват пользовательского трафика, направленного на то, чтобы получить какую-либо конфиденциальную информацию, будь то пароли или что-то еще, а также локализация ошибок сети, сетевых агентов.

Таким образом, сниффер – удачное решение многих компаний, которые ценят и берегут свои данные. Разработок в сети Интернет очень много. Все они, в той или иной степени действительно помогают, определяя те основные параметры запросы, необходимые тому или иному пользователю.

Одной из наиболее удачных конфигураций, совмещающей в себе кучу различных достоинств, является программа, настоящая система защиты информации, Ptraffer.

Данная система – эффективный инструмент, осуществляющий тотальный контроль всех потоков информации (входящей и исходящей) пользователей и серверов одной компании в целом.

Возможности программного продукта Ptraffer:

• Работа с файлами дампа памяти,
• Режим реального времени (WinPcap-драйвер),
• Восстановление переписки по каждому абоненту,
• Восстановление сессий ТСР,
• Сохранение данных о размере сессии и ее продолжительности.

Плюс данного программного продукта в том, что анализ и сбор всей получаемой после установки данных не требуют от того, кто будет отвечать за данное задание, специальных навыков или знаний системного администрирования.

Ptraffer – это грамотная система защиты информации сетей вашей компании.

(!) Решение применимо не ко всем версиям ОС Windows подробности тут

http://windows.microsoft.com/ru-RU/windows-vista/Create-a-network-bridge

http://windows.microsoft.com/en-US/windows7/Create-a-network-bridge

Изначально режим моста на сетевых адаптерах это способ объединить две сети по средствам компьютера оснащенного двумя сетевыми картами.

Исходные данные

• Три ПК с которых необходимо перехватывать данные
• наш ПК на котором установлены две сетевые карты
• небольшой свитч, в который включены три ПК и одна из наших сетевых карт
• вторая включена в роутер, раздающий интернет

В нашем контексте это позволит

• перехватывать данные одного ПК домашней сети другим
• перехватывать данные нескольких ПК в пределах небольшой офисной сети для их анализа

Итак рассмотрим в каком логическом месте сети мы должны перехватывать данные, чтобы не устанавливать дополнительно оборудование и не изменять предоставляемые в сети сервисы.

Т.е. на нашем ПК должно быть как минимум две сетевые карты.

Ремарка - в 2003-м сервере сетевой мост, активизированный для беспроводных подключений или IEEE-1394 соединений, допускает использование только протокола IPv4.

В случае, когда на компьютере активизирован механизм общего доступа к подключению Интернет (ICS), следует соблюдать осторожность в использовании сетевого моста. Допускается активизация сетевого моста для закрытой (private) части общего подключения. Если мост активизировать для открытой (public) части общего подключения, внутренняя сеть окажется абсолютно незащищенной от любых вторжений извне.

Для активизации сетевого моста в окне Network Connections (сетевые подключения) необходимо выбрать интересующие подключения и, вызвав контекстное меню, выбрать пункт Bridge Connections (Связать подключения, соединение типа мост, сетевой мост). Совершенно очевидно, что для создания моста должны быть выбраны как минимум два сетевых подключения. По окончании процесса создания моста в списке сетевых подключений появится значок, обозначающий мост.

Интерфейсы, для которых необходимо создать сетевой мост, не должны быть задействованы в работе механизмов Internet Connection Sharing и Internet Connection Firewall. Кроме того, запрещается использовать для создания сетевого моста интерфейсы, задействованные в работе механизма NAT.

Все эти функции должен выполнять наш роутер.

После того как мост создан, настройки всех входящих в него подключений сбрасываются. При этом все сетевые подключения, образующие мост, рассматриваются как принадлежащие к одной подсети. Большинство свойств подключения конфигурируется однообразно через свойства моста. Задать эти свойства администратор может, открыв окно свойств моста. Список подключений, связываемых мостом, перечисляется в поле Adapters (Адаптеры) на вкладке General (Общие) окна свойств.

Теперь все данные, передаваемые в интернет и принимаемые из него с наших целевых 3-х ПК будут проходить через наш ПК с двумя сетевыми картами, что позволит сохранять и обрабатывать эти данные системами аналогичными pTraffer.

http://forum.ptraffer.ru/viewtopic.php?f=4&t=68

Удачи!