Модуль предназначен для создания правил системы аудита и просмотра отчётов.
Состояние службы аудита отображается рядом с полем Состояние. Запустить службу можно, нажав на кнопку Inactive, остановить — нажав на кнопку Active.
Для просмотра записей аудита следует выбрать в списке Отчёт необходимый отчёт, например:
В отчёте указывается дата и время попытки, пользователь, адрес хоста, успешность события (по умолчанию показываются как удачные, так и неудачные события).
Для дополнительной фильтрации данных в отчёте можно указать параметры фильтра:
Для сохранения выбранных параметров необходимо нажать кнопку Добавить. Для просмотра записей, удовлетворяющих данным параметрам — кнопку Обновить.
Для перехода к окну редактирования правил аудита следует нажать кнопку Установить правила.
В поле Правила отображаются существующие правила и их статус.
Для создания нового правила необходимо:
Для более тонкой настройки правил необходимо отметить пункт Режим эксперта.
В этом режиме в поле Правило можно выбрать список событий, в который следует добавить правило:
В поле Действие можно выбрать действие, которое должно произойти в ответ на возникшее событие:
В поле Системный вызов указывается имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.
Дополнительно можно настроить параметры фильтрации событий.
Для возврата в главное окно необходимо нажать кнопку Назад.