审核某个计算机用户或者操作系统的事件是日常网络治理工作的一个重要部分。网络治理员通过选择需要审核的对象,然后在事件日志中就可以跟踪用户的使用情况、安全问题和网络状况。
目录
确定审核事件的策略
启动审核策略设置
为对象设置审核
浏览事件日志
搜索事件日志
筛选事件日志
设定事件日志的大小
保存事件日志
设置机密文件的审核策略
确定审核事件的策略
但一定要注重不要妄图审查计算机上所有的事件,因为要审查的事件越多,日志就越大。而查看庞大的事件日志本身就是一件非常痛苦的事情,导致的结局甚至可能是不会再有人愿意看它了。
因此,在考虑审核事件时的策略非常重要,基本原则是应在不加重治理员负担的前提下适当的保护网络。另外需要注重的是,每增加一个审核事件,服务器就要增加一些执行上的消耗。
每次审核事件都要报告一些事情,但是这些有时并不是所需要的。如审查成功的登录和注销,可能会发现盗用密码,但它也会产生了很长只是记录正确授权用户正常登录和注销的事件。因此假如要审核是否有人进行随机测试破解密码,使用审核失败登录就能很清楚的得到这些事件的记录。
启动审核策略设置
确定了审核事件的策略之后,也就是明确了要启动的审核策略设置,就可以通过“治理工具”启动“Active Directory用户和计算机”控制台。然后用鼠标右键单击控制台中的域名,在弹出菜单中单击“属性”命令。
随后在弹出的对话框中选择“组策略”选项卡,然后单击“编辑”按钮。在组策略控制台左边窗格上,依次单击打开“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“审核策略”节点,就能看到审核策略的内容,如图1所示。
图1
假如想要打开审核的事件类型,可以双击打开该策略,然后在弹出的对话框中选择相应的复选框,设置是否开启审核,是审核成功还是失败的事件等。在确定开启该审核项目时,需要确定其是自己需要的。例如,“审核对象访问”或“审核目录服务访问”以后,就可以设置对某些文件或对象的访问等事件的审核。
为对象设置审核
当开启了“审核对象访问”后,我们可以选中某个需要审查的对象,然后打开其属性对话框中的“安全”选项卡。随后单击“高级”按钮,然后单击打开“审核”选项卡,如图2所示。
图2
随后单击其中的“添加”按钮,为这些用户的访问创建审核,选择好用户后即弹出如图3所示的访问控制设置对话框。通过选择审核的访问类型以后,单击“确定”按钮即完成设置的过程。
图3
除非是非常重要的东西才需要进行这样的审核,因为这样很可能在选择审核设置时把情况变得更加复杂和困难。事件日志中那么多的条目,往往会把真正重要的问题掩藏起来,甚至丢失了。因此,在决定审核哪些事件的时候一定要仔细,审核的对象要尽量少,而在确实有了必要的要求后再加入审核。
浏览事件日志
事件查看器是用来专门查看事件日志的工具,通过它可以查看操作系统组件、服务及应用程序等所发生的事件信息。当有事件发生时,用户就可以打开事件查看器来查看被记录下来的事件信息。这样可以使系统治理员由这些记录的信息得知系统的状态、错误发生的原因、用户的使用状况等,以便及时地发现和解决问题。
但在查看“事件日志”时必须要很有规律性,这样才能看得出来事件是否产生了变化。要浏览安全日志,可以通过“治理工具”打开“事件查看器”,然后选择“安全日志”。
图4
双击其中任何一个信息就能查看到关于它的更多信息,能够清楚地了解到整个事件的具体过程和描述的信息,这样我们就可以清楚地分析和了解到该事件说明了什么问题。如图4所示的就是一个事件的具体信息。
搜索事件日志
我们在设置审核的策略时,往往要做不止一种的选择。这样事件日志中的各种信息就会混杂在一起,使得查看特定的信息变得困难。假如要查找一个特定类型的事件,可以选中某个事件查看器的日志,单击“查看”、“查找”命令,打开如图5所示的“查找”对话框。
图5
在“事件类型”下面选择查找的事件类型,默认为全部查找。在“事件来源”、“类别”、“事件ID”、“用户”、“计算机”中,指定要查找事件的其他信息。单击“查找”按钮,就可以查找出用户所感爱好的信息来。
筛选事件日志
事件日志会有相当多的事件记录。假如没有足够明确的信息用来查找所需的内容,可以用某些类型的信息来筛选事件日志,让事件查看器只显示符合特定条件的记录,以方便我们浏览。
要设置事件记录的筛选功能,可以在要设置筛选的事件日志类型上单击鼠标右键,在弹出的快捷菜单中单击“查看”、“筛选”命令,如图6所示。
图6
在弹出的图7所示的事件查看器属性窗口中,我们可以设置筛选的条件了。例如,只想查看“成功审核”和“失败审核”两种事件类型,就可以取消其他的几种类型选择,然后设置其他的选项,完成后单击“确定”按钮即可看到筛选的信息。
设定事件日志的大小
当一个事件日志满了,就会经常弹出一个对话框来提醒您。假如对话框频繁出现,就应该减少需要报告的项目数,或者增加日志的大小。要设置事件日志的选项,可以通过“治理工具”打开“事件查看器”,然后右键单击想要设定的日志,并从快捷菜单中选择“属性”命令。
图7
在“常规”选顶卡上选择“最大日志文件大小”,就会有三个选项可供设置:
按需要改写事件 选择这一项时,是指当事件日志已满时,假如有新的事件产生,事件记录服务就会用新的事件记录改写最旧的记录。
改写久于 选择这一项是指当事件已满时,可以改写前几天的记录,系统默认设置为改写7天以前的旧记录。假如当前的事件日志已满而且都是这7天的记录,那么事件记录将不会改写旧的记录。
不改写事件 选择这一项,当事件日志已满时,新的事件记录并不会替代旧的事件记录,而必须手工清除事件日志记录。
实际上在很多情况下,为了保证安全,往往需要在日志满了以后,就要先暂停记录日志。但是假如是有严格的安全要求,那么可以设置当安全日志满的时候,就暂停计算机的运行。实现的方法是,首先将事件日志情况设置为不改写事件或者改写事件久于n天,紧接着启动RegEdit.exe 找到HKEYLOCALMACHINE\SYSTEM \CurrentControlset\Lsa\CrashOnAuditFail,将其值改为1。
重启之后该设置即生效,当日志满的时候系统就会停止运行。重新开机之后,网络治理员只有清除安全日志之后才能登录,虽然这有点太过紧张,但在有些环境和要求下是有需要的。
保存事件日志
假如用事件日志进行系统跟踪,那么就必须保存它们。系统中的事件记录不可能无限制的被记录下来,要保存以前的事件记录,可以用事件查看器提供的存档功能,将这些事件记录另存为新的文件,在需要查看时就可以随时打开进行查看。
选择要保存的事件日志,在其上面右键单击鼠标,在弹出的菜单中单击“另存日志文件”命令。
在弹出的另存为对话框中我们可以选择保存的文件类型,如.evt格式、.txt格式、.csv格式等事件日志类型。
设置机密文件的审核策略
为了增加大家对于审核事件的印象,下面我们以设置对一个机密文件的审核策略过程进行讨论。由于审核文件的策略是审核对象访问的一部分内容,所以在启动的“组策略”窗口中双击“审核对象访问”策略,打开如图8所示的“安全策略设置”对话框。
在此对话框中选中“定义这些策略设置”复选框,然后选择审核的操作:成功和失败。这样当有用户访问文件时,所有对文件进行的操作,不论成功与失败都会被记录下来。然后单击“确定”按钮。
图8
打开机密文件“SECRET”文件夹或者其中某个文件的“属性”对话框,选择“安全”选项卡,单击“高级”按钮,打开文件的访问控制窗口。选择“审核”选项卡,并单击“添加”按钮来添加审核的用户对象。在“选择用户、计算机或组”对话框中选择“Everyone”组,也就是对每个用户的访问进行记录。
图9
在随后弹出的文件审核项目对话框中,勾选记录的用户动作事件是哪些,如图9中所示。当用户访问文件、删除文件和读取文件的权限成功时,这些事件就将被记录。
设置完成以后,可以用某一个用户身份访问该文件,并进行删除操作。在事件查看器的安全日志中,用户就可以看到这些事件的记录了。
【文章来源】《网管员世界》网址:www.netadmin.com.cn