当前位置:文档之家 › 系统审核与日志

系统审核与日志

  • 格式:doc
  • 大小:35.00 KB
  • 文档页数:3

下载文档原格式

  / 6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

审核与日志

一、训练目标

1、能设置操作系统审核

2、会查看操作系统日志

3、能性能日志与警报监视系统运行情况

二、实训环境要求

安装XP或Windows Server 2003计算机

三、实训内容

日志

什么是日志文件?它是一些文件系统集合,依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时,数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防,日志的重要性由此可见。

(1)日志文件的位置

Windows 2000的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%system32config。

安全日志文件:%systemroot%system32configSecEvent.EVT

系统日志文件:%systemroot%system32configSysEvent.EVT

应用程序日志文件:%systemroot%system32configAppEvent.EVT

有的管理员很可能将这些日志重定位(所以日志可能不在上面那些位置)。

(2)清除自己电脑中的日志

如果你要清除自己电脑中的日志,可以用管理员的身份来登录Windows,然后在“控制面板”中进入“管理工具”,再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了,里面有应用程序、安全和系统日志文件。举个例子,比方说你想清除安全日志,可以右键点击“安全日志”,在弹出的菜单中选择“属性”。接下来在弹出的对话框中,点击下面“清除日志”按钮就可以清除了,如果你想以后再来清除这些日志的话,可以将“按需要改写尺寸”,这样就可以在达到最大日志尺寸时进行改写事件了,不会提示你清除日志。

(2)清除远程主机中的日志

获取远程主机的超级用户密码使用空连接,用超级用户administrator用户登录系统:

C:\>net use \\ "" /user:"admintitrators"

开启远程主机的Telnet服务

使用telnet \\远程主机的IP 登录远程主机

del c:windows\system32\config\*.evt

del c:windows\system32\*.log

del c:windows\*.log

(4)移动日志文件的位置

为了防止日志文件不被外人随意访问,我们必须让日志文件挪移到一个其他人根本无法找到的地方,例如可以在D:分区下新建一个AAA的目录。

正式挪移日志文件,将对应的日志文件从原始位置直接复制到新目录位置AAA

修改注册表做好系统与日志文件的关联,打开注册表编辑窗口;依次展开“HKEY_LOCAL_MACHINE””system”“cur rencontrolset”“services”“eventlog”,在“eventlog”项目下看到”system”“security””application”这三个子项。

在对应的”system”注册表项目的右侧显示区域中,用鼠标双击“File”键值,然后在“数值数据”中输入“d:\aaa“,同样更改“security””application”下面的“File”键值。最后按一下F5键刷新注册表。

任务1、系统审计的实现

(1)打开本地安全策略,设置审核对象访问为成功;

(2)在NTFS分区上新建一个文件夹ab,打开“属性”->“安全”-> “高级”-> “审核”,按以下要求设置审核规则:

创建文件夹成功

删除文件夹成功失败

(3)在ab文件夹下创建一个文件夹,然后删除刚建立的文件夹

(4)在系统日志中查看审核规则的记录

任务2、创建和配置“磁盘空间不足”警报

在系统监视器中创建警报以跟踪可用磁盘空间

1.单击开始,指向管理工具,然后单击性能。

2.展开“性能日志和警报”。

3.右键单击警报,然后单击新的警报设置。

4.在新的警报设置框中,键入新警报的名称(例如,可用磁盘空间),然后单击确定。

5.屏幕上会出现警报名称对话框,您可以在此对话框中为所创建的警报配置设置。

6.单击常规选项卡,然后在注释框中,键入监视本地驱动器上的可用磁盘空间。

配置警报

1.单击添加,以打开添加计数器对话框。

2.单击“从计算机选择计数器”,然后从列表中选择您的计算机。

3.在“性能对象”框中单击逻辑磁盘(Logicaldisk)。

4.单击“从列表选择计数器”,然后单击“% 可用空间”(% Free Space)。

5.单击“从列表选择接口”,然后单击希望监视的逻辑驱动器或卷。

6.单击添加,添加计数器,然后单击关闭。

7.在“将触发警报,如果值是”框中,单击低于,然后在限制框中键入所需的值。例如,要

在磁盘空间少于95%,请键入95。

8.接受“示例数据时间间隔”中的默认值5 秒,或者指定所需的值。

9.单击应用。

10.单击操作选项卡,然后指定要在发生警报时执行的操作:

o如果希望“性能日志和警报”服务在警报发生时创建事件查看器的应用程序日志项,请单击“将项记入应用程序事件日志”复选框,将其选中。

o如果希望“性能日志和警报”服务触发“信使”服务来发送消息,请单击“发送网络信息到”复选框,将其选中,然后键入要用于显示警报的计算机的IP 地址或名称。

o要在警报发生时运行计数器日志,请单击“启动性能数据日志”复选框,将其选中,然后指定要运行的计数器日志。

o要在警报发生时运行命令或程序,请单击“执行这个程序”复选框,将其选中,然后键入要运行的程序或命令的文件路径和名称。或者,单击浏览以定位该文件。

o当警报发生时,该服务就创建一个进程并运行指定的命令文件。该服务还将您定义的任何命令行参数复制到用于运行该文件的命令行。单击命令行参数,然后单击相应的复

选框,将其选中,以包括程序运行时要执行的参数。

11.单击应用。

12.单击确定。

相关主题