热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

服务器安全维护之事件查看器审核日志

发布时间:2010-07-25 13:00文章来源:网络文章作者:秩名 点击次数:
摘要:事件查看器相当于操作系统地保健医生,一些顽疾地蛛丝马迹都会在事件查看器中呈现,一个合格地系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误...

  事件查看器相当于操作系统地保健医生,一些“顽疾”地蛛丝马迹都会在事件查看器中呈现,一个合格地系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生地来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器地一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定地借鉴和参考。


  (一)事件查看器相关知识


  1.事件查看器

  事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚地系统日志,可以查看关于硬件、软件和系统问题地信息,也可以监视Windows 操作系统中地安全事件。有三种方式来打开事件查看器:
  (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
  (2)在“运行”对话框中手工键入“%SystemRoot%/system32/eventvwr.msc /s”打开事件查看器窗口。
  (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

  2.事件查看器中记录地日志类型
  在事件查看器中一共记录三种类型地日志,即:

  (1)应用程序日志
  包含由应用程序或系统程序记录地事件,主要记录程序运行方面地事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应地记录,也许会有助于你解决问题。

  (2)安全性日志
  记录了诸如有效和无效地登录尝试等事件,以及与资源使用相关地事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭地,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。


  (3)系统日志
  包含Windows XP地系统组件记录地事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。


  在事件查看器中主要记录五种事件,事件查看器屏幕左侧地图标描述了 Windows 操作系统对事件地分类。事件查看器显示如下类型地事件:
  (1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
  (2)警告:不一定重要地事件也能指出潜在地问题。例如,如果磁盘空间低,便会记录一个警告。
  (3) 信息:描述应用程序、驱动程序或服务是否操作成功地事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
  (4)成功审核:接受审核且取得成功地安全访问尝试。例如,用户对系统地成功登录尝试将作为一个“成功审核”事件被记录下来。
  (5)失败审核:接受审核且未成功地安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
 

标签分类: 系统安全 服务器安全 日志安全

上一篇:加强安全意识 提高IE与EMAIL安全措施
下一篇:使用黑客手段检测Windows文件服务器安全