Windows安全配置 教学课件 冯秀彦 吕秀鉴 褚云霞 第十章 系统监控审核.pdfVIP

第十章 系统监控审核 本章描述：Windows操作系统内置了许多监 控程序，用户可以利用它们来监测网络运 行的状态。 10.1 系统监控审核标准 本章通过3个子任务即日志与事件，安全日志， 性能监视及优化，用户应该达到如下系统 监控审核标准：  1、会使用事件查看器检测系统日志 2、会启用安全日志审核 3、能够使用性能监视器监控网络 10.2 日志与事件 • 任务描述1：Windows系统的安全取决于访 问的安全，任何对系统的或者文件的操作 都会记录在相应的系统日志和事件中，日 志和事件具体的作用是什么呢？ • 技能要求：了解日志和事件的概念，会查 看日志和事件的记录。 运行任何版本的Windows 的计算机用三种日 志记录事件：应用程序日志、安全日志和 系统日志。配置为域控制器的Windows计算 机还有另外两种日志：目录服务日志和文 件复制服务日志。配置为域名系统（DNS） 服务器的计算机还在DNS服务日志里记录事 件 10.2.1系统日志类型 基于 Windows 的计算机将事件记录在以下三种日志中：  1、应用程序日志  应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程 序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序 开发人员确定的。  2、安全日志  安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事 件（如创建、打开或删除文件）。例如，在启用登录审核的情况下， 每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。 您必须以 Administrator 或 Administrators 组成员的身份登录，才能打 开、使用安全日志以及指定将哪些事件记录在安全日志中。  3、系统日志  系统日志包含 Windows 系统组件所记录的事件。例如，如果在启动过程 中未能加载某个驱动程序，则会在系统日志中记录一个事件。 Windows 预先确定由系统组件记录的事件。  10.2.2 事件参数 信息 含义 日期 事件发生的日期。 时间 事件发生的本地时间。 事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的， 则该名称为客户 ID ；如果没有发生模拟的情况，则为主 ID 。在可用时，安全性 用户 日志条目包括主 ID 和模拟 ID 。当服务器允许一个进程采用另一个进程的安全属 性时，则产生模拟。 产生事件的计算机的名称。这通常是您自己的计算机的名称，除非您在另一 计算机 台计算机上查看事件日志。 识别特殊事件类型的编号。描述的第一行一般包含事件类型的名称。例如， 事件 ID 6005 是在启动事件日志服务时所发生事件的 ID 。这类事件描述的第一行是“事件 日志服务已启动” 。”产品支持代表可使用事件 ID 和事件来源解决系统问题。 记录事件的软件，可以是程序名（如 SQL Server, ）、系统的组件（如驱动 来源 程序）或大程序的组件。例如，Elnkii 表示 EtherLink II 的驱动程序。 事件严重性的分类：系统和应用程序日志里的错误、信息或警告与安全性日 类型 志中的成功审核或失败审核。在“事件查看器” 中的正常列表方式下查看，它们都 由一个符号表示。 按事件来源分类事件。该信息主要用于安全性日志。例如，对于安全审核， 类别 它对应于可在组策略中启用成功或失败审核的其中一个事件类型。 10.2.3事件类型 所记录的每个事件的说明取决于事件类型。日志中的每个事件都 可归类为以下类型之一：  1、信息 ：描述任务（如应用程序、驱动程序或服务）成功运行的 事件。例如，当网络驱动程序成功加载时将记录“信息”事件。  2、警告