第十章系統(tǒng)監(jiān)控審核

第十章系統(tǒng)監(jiān)控審核本章描述：Windows操作系統(tǒng)內(nèi)置了許多監(jiān)控程序，用戶可以利用它們來監(jiān)測網(wǎng)絡運行的狀態(tài)。10.1系統(tǒng)監(jiān)控審核標準

本章通過3個子任務即日志與事件，安全日志，性能監(jiān)視及優(yōu)化，用戶應該達到如下系統(tǒng)監(jiān)控審核標準：

1、會使用事件查看器檢測系統(tǒng)日志2、會啟用安全日志審核3、能夠使用性能監(jiān)視器監(jiān)控網(wǎng)絡10.2日志與事件

任務描述1：Windows系統(tǒng)的安全取決于訪問的安全，任何對系統(tǒng)的或者文件的操作都會記錄在相應的系統(tǒng)日志和事件中，日志和事件具體的作用是什么呢？技能要求：了解日志和事件的概念，會查看日志和事件的記錄。運行任何版本的Windows的計算機用三種日志記錄事件：應用程序日志、安全日志和系統(tǒng)日志。配置為域控制器的Windows計算機還有另外兩種日志：目錄服務日志和文件復制服務日志。配置為域名系統(tǒng)（DNS）服務器的計算機還在DNS服務日志里記錄事件10.2.1系統(tǒng)日志類型

基于

Windows的計算機將事件記錄在以下三種日志中：

1、應用程序日志

應用程序日志包含由程序記錄的事件。例如，數(shù)據(jù)庫程序可能在應用程序日志中記錄文件錯誤。寫入到應用程序日志中的事件是由軟件程序開發(fā)人員確定的。

2、安全日志

安全日志記錄有效和無效的登錄嘗試等事件，以及與資源使用有關的事件（如創(chuàng)建、打開或刪除文件）。例如，在啟用登錄審核的情況下，每當用戶嘗試登錄到計算機上時，都會在安全日志中記錄一個事件。您必須以

Administrator或

Administrators組成員的身份登錄，才能打開、使用安全日志以及指定將哪些事件記錄在安全日志中。

3、系統(tǒng)日志

系統(tǒng)日志包含

Windows系統(tǒng)組件所記錄的事件。例如，如果在啟動過程中未能加載某個驅(qū)動程序，則會在系統(tǒng)日志中記錄一個事件。Windows預先確定由系統(tǒng)組件記錄的事件。

10.2.2事件參數(shù)

信息含義日期事件發(fā)生的日期。時間事件發(fā)生的本地時間。用戶事件發(fā)生所代表的用戶的名稱。如果事件實際上是由服務器進程所引起的，則該名稱為客戶

ID；如果沒有發(fā)生模擬的情況，則為主

ID。在可用時，安全性日志條目包括主

ID和模擬

ID。當服務器允許一個進程采用另一個進程的安全屬性時，則產(chǎn)生模擬。計算機產(chǎn)生事件的計算機的名稱。這通常是您自己的計算機的名稱，除非您在另一臺計算機上查看事件日志。事件

ID識別特殊事件類型的編號。描述的第一行一般包含事件類型的名稱。例如，6005是在啟動事件日志服務時所發(fā)生事件的

ID。這類事件描述的第一行是“事件日志服務已啟動”?！碑a(chǎn)品支持代表可使用事件

ID和事件來源解決系統(tǒng)問題。來源記錄事件的軟件，可以是程序名（如

"SQLServer,"）、系統(tǒng)的組件（如驅(qū)動程序）或大程序的組件。例如，"Elnkii"表示

EtherLinkII的驅(qū)動程序。類型事件嚴重性的分類：系統(tǒng)和應用程序日志里的錯誤、信息或警告與安全性日志中的成功審核或失敗審核。在“事件查看器”中的正常列表方式下查看，它們都由一個符號表示。類別按事件來源分類事件。該信息主要用于安全性日志。例如，對于安全審核，它對應于可在組策略中啟用成功或失敗審核的其中一個事件類型。10.2.3事件類型

所記錄的每個事件的說明取決于事件類型。日志中的每個事件都可歸類為以下類型之一：

1、信息

：描述任務（如應用程序、驅(qū)動程序或服務）成功運行的事件。例如，當網(wǎng)絡驅(qū)動程序成功加載時將記錄“信息”事件。2、警告

：不一定重要但可能表明將來有可能出現(xiàn)問題的事件。例如，當磁盤空間快用完時將記錄“警告”消息。

3、錯誤：描述重要問題（如關鍵任務失?。┑氖录??！板e誤”事件可能涉及數(shù)據(jù)丟失或功能缺失。例如，當啟動過程中無法加載服務時將記錄“錯誤”事件。

4、成功審核（安全日志）

：描述成功完成受審核安全事件的事件。例如，當用戶登錄到計算機上時將記錄“成功審核”事件。

5、失敗審核（安全日志）：描述未成功完成的受審核安全事件的事件。例如，當用戶無法訪問網(wǎng)絡驅(qū)動器時可能記錄“失敗審核”事件。10.2.4查看日志

要打開事件查看器，請按照下列步驟操作：單擊【開始】，然后單擊【控制面板】。再單擊【管理工具】，然后雙擊【計算機管理】，在控制臺樹中單擊【事件查看器】。應用程序日志、安全日志和系統(tǒng)日志顯示在【事件查看器】窗口中。如圖10-1所示。圖10.1安全日志10.3安全日志

任務描述2:對于管理員來說，很重要的一點是保護你的信息和服務資源不會被不應訪問的人訪問，同時還要使這些資源能夠被授權的用戶訪問。那么如何使用

Windows安全功能審核對資源的訪問呢？我們可以配置安全日志以記錄有關目錄和文件訪問或者服務器事件的信息?？梢允褂?/p>

Microsoft管理控制臺

(MMC)中的“審核策略”設置此審核級別。這些事件都記錄在“Windows安全日志”中?！鞍踩罩尽笨梢杂涗洶踩录?，如有效和無效的登錄嘗試以及與資源使用相關的事件（如創(chuàng)建、打開或者刪除文件）。必須以管理員身份登錄才能控制要審核哪些事件，以及在“安全日志”中顯示哪些事件。技能要求：了解安全日志的的作用，學會啟用本地

Windows安全審核的方法，學會保護日志文件、審核日志的方法。10.3.1啟用審核策略

審核日志是

Windows中本地安全策略的一部分，它是一個維護系統(tǒng)安全性的工具，允許你跟蹤用戶的活動和

Windows系統(tǒng)的活動，這些活動稱為事件。

根據(jù)監(jiān)控審核結果，管理員就可以將計算機資源的非法使用消除或減到最??；通過審核日志，我們可以記錄下列信息：哪些用戶企圖登錄到系統(tǒng)中，或從系統(tǒng)中注銷、登錄或注銷的日期和時間是否成功等；哪些用戶對指定的文件、文件夾或打印機進行哪種類型的訪問；系統(tǒng)的安全選項進行了哪些更改；用戶帳戶進行了哪些更改，是否增加或刪除了用戶等等。通過查看這些信息，我們就能夠及時發(fā)現(xiàn)系統(tǒng)存在的安全隱患，通過了解指定資源的使用情況來指定資源使用計劃。在

Windows能夠?qū)徍藢ξ募臀募A的訪問之前，我們必須使用“組策略”管理單元在“審核策略”中啟用“審核對象訪問”設置。如果不啟用，當設置文件和文件夾的審核時，就會收到錯誤消息，并且不會審核任何文件或文件夾。在“組策略”中啟用審核之后，在“事件查看器”中查看安全日志，了解對審核文件和文件夾有哪些成功或者失敗的訪問嘗試。注意：如果審核項對話框中訪問下的復選框是灰色的，或者訪問控制設置對話框中的刪除按鈕不可用，則表明已從父文件夾繼承了審核。因為“安全”日志有大小限制，所以請仔細選擇要審核的文件和文件夾。還要考慮用于“安全”日志的磁盤空間大小。最大大小是在“事件查看器”中定義的。10.3.2日志文件的保護

日志文件對我們?nèi)绱酥匾?，因此不能忽視對它的保護，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。

1、修改日志文件存放目錄

Windows日志文件默認路徑是“%systemroot%system32/config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。具體操作，點擊“開始→運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System幾個子項分別對應應用程序日志、安全日志、系統(tǒng)日志。我們以應用程序日志為例，將其轉(zhuǎn)移到“d:\ap”目錄下。選中Application子項（如圖10-4所示），在右欄中找到File鍵，其鍵值為應用程序日志文件的路徑“%SystemRoot%\system32\winevt\Logs\Application.evtx”，將它修改為“d:\ap\Application.evtx”。接著在D盤新建“ap”目錄，將“Application.evtx”拷貝到該目錄下，重新啟動系統(tǒng)，完成應用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作，或建立一系列深目錄以存放新日志文件，如D:\01\02\03\04\05\06\07，起名的原則就是要越不引人注意越好。2、設置文件訪問權限修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。右鍵點擊D盤的ap目錄，選擇“屬性”，切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權限，最后點擊“確定”按鈕。這樣當用戶清除Windows日志時，就會彈出錯誤對話框。10.3.4審核事件ID

在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。1、查看正常開關機記錄在Windows系統(tǒng)中，我們可以通過事件查看器的系統(tǒng)日志查看計算機的開、關機記錄，這是因為日志服務會隨計算機一起啟動或關閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統(tǒng)。6006表示事件日志服務已停止，如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統(tǒng)原因或者直接切斷電源導致沒有執(zhí)行正常的關機操作。2、查看DHCP配置警告信息在規(guī)模較大的網(wǎng)絡中，一般都是采用DHCP服務器配置客戶端IP地址信息，如果客戶機無法找到DHCP服務器，就會自動使用一個內(nèi)部的IP地址配置客戶端，并且在Windows日志中產(chǎn)生一個事件ID號為1007的事件。如果用戶在日志中發(fā)現(xiàn)該編號事件，說明該機器無法從DHCP服務器獲得信息，就要查看是該機器網(wǎng)絡故障還是DHCP服務器問題。10.4性能監(jiān)視及優(yōu)化

任務描述3:隨著Windows上用戶的數(shù)量、服務對象及應用的增多，操作系統(tǒng)的處理能力有時會明顯降低，這就需要系統(tǒng)或網(wǎng)絡管理員通過一些管理工具來對服務器進行監(jiān)控和維護，以保證系統(tǒng)或網(wǎng)絡正常、高效運行。本節(jié)主要介紹Windows服務器中有關系統(tǒng)性能監(jiān)視和網(wǎng)絡監(jiān)視器的配置，性能監(jiān)控對象的添加、刪除以及對相應的性能指標給出參考值，以便判斷系統(tǒng)的性能是否在正常的范圍，并對系統(tǒng)的升級和優(yōu)化提供參考意見。最后給出利用網(wǎng)絡監(jiān)視器分析網(wǎng)絡性能的例子。技能要求：掌握系統(tǒng)性能監(jiān)視器配置的方法，掌握對系統(tǒng)性能數(shù)據(jù)分析的方法，了解網(wǎng)絡監(jiān)視器的工作原理，掌握網(wǎng)絡監(jiān)視器的使用方法。1、鼠標單擊“開始-運行”菜單，在運行中輸入“MMC”打開管理控制臺，第一次運行的控制臺是空白的，可以按照需要添加各種管理單元，在“文件”菜單上單擊“添加/刪除管理單元”

10.4.1系統(tǒng)性能監(jiān)視器的使用

2、在打開的對話框中，系統(tǒng)已經(jīng)提供了很多的基本管理單元，而且在系統(tǒng)安裝了某些具有符合MMC管理功能的第三方軟件之后，可以把這些軟件添加到控制臺中。要添加系統(tǒng)性能控制模塊，可以選擇文件-打開選項，在“%Systemroot%\System32”文件夾中，找到名為“perform.msc”的文件，然后雙擊打開即可啟動性能監(jiān)視器在系統(tǒng)的性能監(jiān)控中，對于各種性能數(shù)據(jù)可以通過圖形、直方圖或報表視圖等多種形式顯示數(shù)據(jù)。通過管理控制臺，可以創(chuàng)建重復使用的監(jiān)視配置，這些配置可以安裝在使用

Microsoft管理控制臺（MMC）的任何計算機上。使用系統(tǒng)監(jiān)視器，可以收集和查看有關硬件資源的使用和系統(tǒng)服務的各種活動數(shù)據(jù)系統(tǒng)監(jiān)視器10.4.2性能監(jiān)視器的配置基礎

1、選擇監(jiān)視方法

圖形對于本地或遠程計算機的短期實時監(jiān)視是最為有效的方式。例如要在系統(tǒng)事件發(fā)生時觀察該事件，其中選擇合適的更新間隔，以便捕獲感興趣的活動類型。日志對于保留記錄和延長監(jiān)視（尤其是遠程計算機）非常有用；記錄的數(shù)據(jù)可以導出并生成報告或使用“系統(tǒng)監(jiān)視器”提供圖表或直方圖。日志是監(jiān)視多臺計算機最實用的方法。

2、選擇監(jiān)視頻率

對于常規(guī)監(jiān)視，通?？梢杂贸^15分鐘的間隔來記錄活動。如果要監(jiān)視特定的問題，則必須改變時間間隔。如果要在特定時間內(nèi)監(jiān)視特定進程的活動，可以設置較短的更新時間間隔；反之，若要監(jiān)視慢速顯示的問題（如內(nèi)存溢出），則使用較長的間隔。選擇時間間隔時，還要考慮要監(jiān)視的總時間長度。如果監(jiān)視不超過4個小時，則每15秒更新一次比較合理；如果要監(jiān)視系統(tǒng)8個小時或更長時間，則設置的間隔不要少于300秒。將更新間隔設置為高頻率可能使系統(tǒng)生成大量數(shù)據(jù)，但這可能難于處理并增加運行性能日志和警報的總開銷。

3、保存性能數(shù)據(jù)的記錄“性能日志和警報”能夠?qū)⑷罩拘阅軘?shù)據(jù)記錄到

SQL數(shù)據(jù)庫中。如果將記錄的數(shù)據(jù)保留在數(shù)據(jù)庫中，可以查詢這些信息并將其包含在報告中。使用數(shù)據(jù)庫分析工具可以查詢結果并使用各種參數(shù)詳細檢查結果，甚至可以顯示出圖形的界面。10.4.3系統(tǒng)監(jiān)視配置的實例

系統(tǒng)默認的監(jiān)控界面沒有任何可監(jiān)控的數(shù)據(jù)項，下面通過例子介紹如何添加一個新的監(jiān)控選項。操作步驟如下：（1）在如圖10-7所示監(jiān)控的圖表區(qū)域單擊鼠標右