網絡管理中的事件審核

2019-11-04 12:24:44

字體：大中小

來源：轉載

供稿：網友

審核某個計算機用戶或者操作系統的事件是日常網絡治理工作的一個重要部分。網絡治理員通過選擇需要審核的對象，然后在事件日志中就可以跟蹤用戶的使用情況、安全問題和網絡狀況。

目錄

確定審核事件的策略
啟動審核策略設置
為對象設置審核
瀏覽事件日志
搜索事件日志
篩選事件日志
設定事件日志的大小
保存事件日志
設置機密文件的審核策略

確定審核事件的策略

但一定要注重不要妄圖審查計算機上所有的事件，因為要審查的事件越多，日志就越大。而查看龐大的事件日志本身就是一件非常痛苦的事情，導致的結局甚至可能是不會再有人愿意看它了。

因此，在考慮審核事件時的策略非常重要，基本原則是應在不加重治理員負擔的前提下適當的保護網絡。另外需要注重的是，每增加一個審核事件，服務器就要增加一些執行上的消耗。

每次審核事件都要報告一些事情，但是這些有時并不是所需要的。如審查成功的登錄和注銷，可能會發現盜用密碼，但它也會產生了很長只是記錄正確授權用戶正常登錄和注銷的事件。因此假如要審核是否有人進行隨機測試破解密碼，使用審核失敗登錄就能很清楚的得到這些事件的記錄。

啟動審核策略設置

確定了審核事件的策略之后，也就是明確了要啟動的審核策略設置，就可以通過“治理工具”啟動“Active Directory用戶和計算機”控制臺。然后用鼠標右鍵單擊控制臺中的域名，在彈出菜單中單擊“屬性”命令。

隨后在彈出的對話框中選擇“組策略”選項卡，然后單擊“編輯”按鈕。在組策略控制臺左邊窗格上，依次單擊打開“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“審核策略”節點，就能看到審核策略的內容，如圖1所示。

網絡治理中的事件審核

圖1

假如想要打開審核的事件類型，可以雙擊打開該策略，然后在彈出的對話框中選擇相應的復選框，設置是否開啟審核，是審核成功還是失敗的事件等。在確定開啟該審核項目時，需要確定其是自己需要的。例如，“審核對象訪問”或“審核目錄服務訪問”以后，就可以設置對某些文件或對象的訪問等事件的審核。

為對象設置審核

當開啟了“審核對象訪問”后，我們可以選中某個需要審查的對象，然后打開其屬性對話框中的“安全”選項卡。隨后單擊“高級”按鈕，然后單擊打開“審核”選項卡，如圖2所示。

網絡治理中的事件審核

圖2

隨后單擊其中的“添加”按鈕，為這些用戶的訪問創建審核，選擇好用戶后即彈出如圖3所示的訪問控制設置對話框。通過選擇審核的訪問類型以后，單擊“確定”按鈕即完成設置的過程。

網絡治理中的事件審核

圖3

除非是非常重要的東西才需要進行這樣的審核，因為這樣很可能在選擇審核設置時把情況變得更加復雜和困難。事件日志中那么多的條目，往往會把真正重要的問題掩藏起來，甚至丟失了。因此，在決定審核哪些事件的時候一定要仔細，審核的對象要盡量少，而在確實有了必要的要求后再加入審核。

瀏覽事件日志

事件查看器是用來專門查看事件日志的工具，通過它可以查看操作系統組件、服務及應用程序等所發生的事件信息。當有事件發生時，用戶就可以打開事件查看器來查看被記錄下來的事件信息。這樣可以使系統治理員由這些記錄的信息得知系統的狀態、錯誤發生的原因、用戶的使用狀況等，以便及時地發現和解決問題。

但在查看“事件日志”時必須要很有規律性，這樣才能看得出來事件是否產生了變化。要瀏覽安全日志，可以通過“治理工具”打開“事件查看器”，然后選擇“安全日志”。

網絡治理中的事件審核

圖4

雙擊其中任何一個信息就能查看到關于它的更多信息，能夠清楚地了解到整個事件的具體過程和描述的信息，這樣我們就可以清楚地分析和了解到該事件說明了什么問題。如圖4所示的就是一個事件的具體信息。

搜索事件日志

我們在設置審核的策略時，往往要做不止一種的選擇。這樣事件日志中的各種信息就會混雜在一起，使得查看特定的信息變得困難。假如要查找一個特定類型的事件，可以選中某個事件查看器的日志，單擊“查看”、“查找”命令，打開如圖5所示的“查找”對話框。

網絡治理中的事件審核

圖5

在“事件類型”下面選擇查找的事件類型，默認為全部查找。在“事件來源”、“類別”、“事件ID”、“用戶”、“計算機”中，指定要查找事件的其他信息。單擊“查找”按鈕，就可以查找出用戶所感愛好的信息來。

篩選事件日志

事件日志會有相當多的事件記錄。假如沒有足夠明確的信息用來查找所需的內容，可以用某些類型的信息來篩選事件日志，讓事件查看器只顯示符合特定條件的記錄，以方便我們瀏覽。

要設置事件記錄的篩選功能，可以在要設置篩選的事件日志類型上單擊鼠標右鍵，在彈出的快捷菜單中單擊“查看”、“篩選”命令，如圖6所示。

網絡治理中的事件審核

圖6

在彈出的圖7所示的事件查看器屬性窗口中，我們可以設置篩選的條件了。例如，只想查看“成功審核”和“失敗審核”兩種事件類型，就可以取消其他的幾種類型選擇，然后設置其他的選項，完成后單擊“確定”按鈕即可看到篩選的信息。

設定事件日志的大小

當一個事件日志滿了，就會經常彈出一個對話框來提醒您。假如對話框頻繁出現，就應該減少需要報告的項目數，或者增加日志的大小。要設置事件日志的選項，可以通過“治理工具”打開“事件查看器”，然后右鍵單擊想要設定的日志，并從快捷菜單中選擇“屬性”命令。

網絡治理中的事件審核

圖7

在“常規”選頂卡上選擇“最大日志文件大小”，就會有三個選項可供設置：

按需要改寫事件選擇這一項時，是指當事件日志已滿時，假如有新的事件產生，事件記錄服務就會用新的事件記錄改寫最舊的記錄。

改寫久于選擇這一項是指當事件已滿時，可以改寫前幾天的記錄，系統默認設置為改寫7天以前的舊記錄。假如當前的事件日志已滿而且都是這7天的記錄，那么事件記錄將不會改寫舊的記錄。

不改寫事件選擇這一項，當事件日志已滿時，新的事件記錄并不會替代舊的事件記錄，而必須手工清除事件日志記錄。

實際上在很多情況下，為了保證安全，往往需要在日志滿了以后，就要先暫停記錄日志。但是假如是有嚴格的安全要求，那么可以設置當安全日志滿的時候，就暫停計算機的運行。實現的方法是，首先將事件日志情況設置為不改寫事件或者改寫事件久于n天，緊接著啟動RegEdit.exe 找到HKEYLOCALMACHINE/SYSTEM /CurrentControlset/Lsa/CrashOnAuditFail，將其值改為1。

重啟之后該設置即生效，當日志滿的時候系統就會停止運行。重新開機之后，網絡治理員只有清除安全日志之后才能登錄，雖然這有點太過緊張，但在有些環境和要求下是有需要的。

保存事件日志

假如用事件日志進行系統跟蹤，那么就必須保存它們。系統中的事件記錄不可能無限制的被記錄下來，要保存以前的事件記錄，可以用事件查看器提供的存檔功能，將這些事件記錄另存為新的文件，在需要查看時就可以隨時打開進行查看。

選擇要保存的事件日志，在其上面右鍵單擊鼠標，在彈出的菜單中單擊“另存日志文件”命令。

在彈出的另存為對話框中我們可以選擇保存的文件類型，如.evt格式、.txt格式、.csv格式等事件日志類型。

設置機密文件的審核策略

為了增加大家對于審核事件的印象，下面我們以設置對一個機密文件的審核策略過程進行討論。由于審核文件的策略是審核對象訪問的一部分內容，所以在啟動的“組策略”窗口中雙擊“審核對象訪問”策略，打開如圖8所示的“安全策略設置”對話框。

在此對話框中選中“定義這些策略設置”復選框，然后選擇審核的操作：成功和失敗。這樣當有用戶訪問文件時，所有對文件進行的操作，不論成功與失敗都會被記錄下來。然后單擊“確定”按鈕。

網絡治理中的事件審核

圖8

打開機密文件“SECRET”文件夾或者其中某個文件的“屬性”對話框，選擇“安全”選項卡，單擊“高級”按鈕，打開文件的訪問控制窗口。選擇“審核”選項卡，并單擊“添加”按鈕來添加審核的用戶對象。在“選擇用戶、計算機或組”對話框中選擇“Everyone”組，也就是對每個用戶的訪問進行記錄。

網絡治理中的事件審核

圖9

在隨后彈出的文件審核項目對話框中，勾選記錄的用戶動作事件是哪些，如圖9中所示。當用戶訪問文件、刪除文件和讀取文件的權限成功時，這些事件就將被記錄。

設置完成以后，可以用某一個用戶身份訪問該文件，并進行刪除操作。在事件查看器的安全日志中，用戶就可以看到這些事件的記錄了。

【文章來源】《網管員世界》網址:www.netadmin.com.cn

上一篇：主動集中式網絡管理的重要性

下一篇：網絡管理系統--網絡地板