bmonlog

Dzienniki monitorowania zachowania

Klienty rejestrują informacje o próbach uzyskania dostępu przez nieautoryzowane programy i przesyłają te informacje na serwer. Klient, który jest stale uruchomiony, agreguje dzienniki i wysyła je na serwer w określonych odstępach czasu, wynoszących domyślnie 60 minut.

Aby dzienniki nie zajmowały zbyt dużo miejsca na dysku twardym, można je ręcznie usunąć lub skonfigurować harmonogram ich usuwania. Więcej informacji na temat zarządzania dziennikami zawiera temat Zarządzanie dziennikami.

Aby wyświetlić dzienniki monitorowania zachowania:

• Dzienniki > Dzienniki komputerów w sieci > Zagrożenia bezpieczeństwa
  
  Komputery w sieci > Zarządzanie klientem

1. W drzewie klientów kliknij ikonę domeny głównej , aby dołączyć wszystkie klienty, lub wybierz określone domeny lub klienty.

2. Kliknij kolejno opcje Dzienniki > Dzienniki monitorowania zachowania lub Wyświetl dzienniki > Dzienniki monitorowania zachowania.

3. Określ kryteria dziennika i kliknij przycisk Wyświetl dzienniki.

4. Wyświetl dzienniki. Dziennik zawiera następujące informacje:

• data i godzina wykrycia nieautoryzowanego procesu;

• komputer, na którym wykryto nieautoryzowany proces;

• domena komputera;

• Naruszenie, stanowiące zasadę monitorowania zdarzeń naruszoną przez proces

• Operacja wykonana po wykryciu naruszenia

• Zdarzenie stanowiące typ obiektu, do którego program uzyskał dostęp

• poziom zagrożenia związany z nieautoryzowanym programem;

• nazwa nieautoryzowanego programu;

• Operacja, stanowiąca czynność wykonaną przez nieautoryzowany program

• element docelowy, czyli proces, do którego uzyskano dostęp;

5. Aby zapisać dziennik jako plik rozdzielany przecinkami (CSV), kliknij opcję Eksport do CSV. Otwórz plik lub zapisz go w określonym miejscu.

Aby skonfigurować harmonogram wysyłania dziennika monitorowania zachowania:

1. Uzyskaj dostęp do lokalizacji <Folder instalacji serwera>\PCCSRV.

2. Otwórz plik ofcscan.ini w edytorze tekstu, na przykład w Notatniku.

3. Znajdź ciąg tekstowy "SendBMLogPeriod" i sprawdź odpowiadającą mu wartość. Domyślna wartość to 3600 sekund. Tekst wygląda wtedy następująco: „SendBMLogPeriod=3600”.

4. Określ wartość w sekundach. Aby na przykład zmienić przedział czasu na 2 godziny, należy wpisać wartość 7200.

5. Zapisz plik.

6. Przejdź do sekcji Komputery w sieci > Globalne ustawienia klienta.

7. Kliknij polecenie Zapisz, pozostawiając wszystkie ustawienia bez zmian.

8. Ponownie uruchom klienta.

Zobacz również:

• Monitorowanie zachowania