分享
 
 
 

如何规划eventlog审计规则

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要,但也是最乏味的一环。在审计过程中,与特定标准匹配的事件将记录到计算机的事件日志(event log)中,帮助你完成这个重要的管理任务。在本讲座中,我将讨论审计和事件日志,并且教你如何完成这个工作。

审计设置中的选项

审计控制和属性要通过Windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域,你可以在计算机配置-Windows设置-安全设置-本地策略-审计策略目录下面的默认域策略中找到域审计策略。此外,你还可以通过控制面板中的管理工具模板查看这个本地安全策略。

每个组策略对象的设置指出什么类型的事件和结果应该写入事件日志。下面是一些审计策略的选择:

?审计账户登录事件:当域用户登录系统时写入日志。

?审计账户管理:指出用户账户何时增加、修改和删除。

?审计目录服务访问:审计与活动目录有关的查询和其它通信是何时实施的。

?审计登录事件:等本地用户登录系统时写入日志。

?审计访问对象:指出某些文件、文件夹和其它系统对象是什么时间被打开、关闭或者“接触的”。

?审计策略变化:审计本地策略(诸如本地安全策略等)及其相关的对象是什么时间变化的。

?审计权限使用:当用户行使赋予他们的权利时,将此事件写入日志。

?审计进程跟踪:跟踪程序启动--程序何时关闭以及这个程序将启动的其它事件。

?审计系统事件:审计用户何时重新启动计算机或者事件何时写入安全日志或者对系统安全产生了什么影响。

你可以通过编辑系统访问控制列表(SACL)对任何特定的对象设置要审计的单个对象。这很像是授权,只不过它要向Windows指出事件日志应该写入什么类型的访问。你可以通过点击这个对象的属性表单中的安全标签的高级按钮访问系统访问控制列表查找对象。在审计标签中,你可以点击添加按钮增加一个对象的新的审计事件,或者点击查看/编辑按钮修改一个现有的审计事件。(注:你不能在一个FAT文件系统中编辑对象)

建议要记录的项目

首先,你需要了解几个事情。一,太多的审计会消耗大量的资源。用户每一次移动鼠标都会被记录下来(这太过分了。但是,记录一次并不过分)。二,过多的审计是无用的。一般来说,由于你不查看审计日志,审计就不会为你提供任何好处,你如果不能通过大量的审计事件提升安全,就是在浪费资源。你要了解要审计的东西并且有所选择。

下面是一些你特别需要记录下来的事件:

?登录和登出事件,由审计账户登录事件和审计登录设置进行跟踪,能够指出反复登录失败的事件并且指出一个特定的账户正在被一个攻击利用。

?账户管理,由审计账户管理设置进行跟踪,能够指出曾经使用或者设法使用他们的用户权限和计算机管理员权限的那些用户。

?启动和关闭事件,由审计系统事件设置跟踪,能够显示用户已经设法管理了一个系统以及在启动时什么服务没有正常启动。

?策略改变,由审计策略改变设置进行跟踪,能够指出用户篡改安全设置。

?权限使用事件,由审计权限使用设置进行跟踪,能够显示修改某些目标许可权限的企图。

?配置事件日志策略。

同审计策略相同,你在计算机设置-Windows设置-安全设置-本地策略-事件登录目录树中的默认域策略可以找到设置事件日志的策略。下面是事件日志策略的一些设置:

?应用程序日志规模最大化:设置日志文件最大尺寸,允许在最老的日志被清除之前日志文件达到最大限度。

?安全日志规模最大化:做法与上述项目相同,只不过是做安全日志。

?系统日志规模最大化:与前两项的做法相同,只不过是做系统日志。

?禁止游客访问应用程序日志:不允许以游客账户登录的用户访问应用程序日志。

?禁止游客访问安全日志:不允许以游客账户登录的用户访问安全日志。

?禁止游客访问系统日志:不允许以游客账户登录的用户访问系统日志。

?保留应用程序日志:具体说明当应用程序日志文件达到最大尺寸时是否覆盖事件纪录或者存储日志。

?保留安全日志:具体说明当安全日志文件达到最大尺寸时是否覆盖事件纪录或者存储日志。

?保留系统日志:具体说明当系统日志文件达到最大尺寸时是否覆盖事件纪录或者存储日志。

?应用程序日志保留方法:具体说明Windows是否应该覆盖第七天的旧的应用程序日志事件还是仅覆盖七天以上的日志;你还可以选择不覆盖文件并且手工清除日志。

?安全日志保留方法:具体说明Windows是否应该覆盖第七天的旧的安全日志事件还是仅覆盖七天以上的日志;你还可以选择不覆盖文件并且手工清除日志。

?系统日志保留方法:具体说明Windows是否应该覆盖第七天的旧的系统日志事件还是仅覆盖七天以上的日志;你还可以选择不覆盖文件并且手工清除日志。

?当安全审计日志记满之后关闭计算机:关闭计算机直到管理员能够清除安全日志并且能够写入新的事件。

要本地设置一台没有加入一个域的计算机的事件日志,先装载事件查看器操作台(这个程序在控制面板和管理工具中),然后用鼠标右键点击左边窗口中的每一项日志。你可以在这个窗口中设置日志文件的大小选项,包括最大文件尺寸以及达到这个极限之后Windows应该采取的措施。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有