第十章系統(tǒng)監(jiān)控審核

第十章系統(tǒng)監(jiān)控審核本章描述：Windows操作系統(tǒng)內(nèi)置了許多監(jiān)控程序，用戶可以利用它們來(lái)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行的狀態(tài)。10.1系統(tǒng)監(jiān)控審核標(biāo)準(zhǔn)

本章通過(guò)3個(gè)子任務(wù)即日志與事件，安全日志，性能監(jiān)視及優(yōu)化，用戶應(yīng)該達(dá)到如下系統(tǒng)監(jiān)控審核標(biāo)準(zhǔn)：

1、會(huì)使用事件查看器檢測(cè)系統(tǒng)日志2、會(huì)啟用安全日志審核3、能夠使用性能監(jiān)視器監(jiān)控網(wǎng)絡(luò)10.2日志與事件

任務(wù)描述1：Windows系統(tǒng)的安全取決于訪問(wèn)的安全，任何對(duì)系統(tǒng)的或者文件的操作都會(huì)記錄在相應(yīng)的系統(tǒng)日志和事件中，日志和事件具體的作用是什么呢？技能要求：了解日志和事件的概念，會(huì)查看日志和事件的記錄。運(yùn)行任何版本的Windows的計(jì)算機(jī)用三種日志記錄事件：應(yīng)用程序日志、安全日志和系統(tǒng)日志。配置為域控制器的Windows計(jì)算機(jī)還有另外兩種日志：目錄服務(wù)日志和文件復(fù)制服務(wù)日志。配置為域名系統(tǒng)（DNS）服務(wù)器的計(jì)算機(jī)還在DNS服務(wù)日志里記錄事件10.2.1系統(tǒng)日志類型

基于

Windows的計(jì)算機(jī)將事件記錄在以下三種日志中：

1、應(yīng)用程序日志

應(yīng)用程序日志包含由程序記錄的事件。例如，數(shù)據(jù)庫(kù)程序可能在應(yīng)用程序日志中記錄文件錯(cuò)誤。寫入到應(yīng)用程序日志中的事件是由軟件程序開發(fā)人員確定的。

2、安全日志

安全日志記錄有效和無(wú)效的登錄嘗試等事件，以及與資源使用有關(guān)的事件（如創(chuàng)建、打開或刪除文件）。例如，在啟用登錄審核的情況下，每當(dāng)用戶嘗試登錄到計(jì)算機(jī)上時(shí)，都會(huì)在安全日志中記錄一個(gè)事件。您必須以

Administrator或

Administrators組成員的身份登錄，才能打開、使用安全日志以及指定將哪些事件記錄在安全日志中。

3、系統(tǒng)日志

系統(tǒng)日志包含

Windows系統(tǒng)組件所記錄的事件。例如，如果在啟動(dòng)過(guò)程中未能加載某個(gè)驅(qū)動(dòng)程序，則會(huì)在系統(tǒng)日志中記錄一個(gè)事件。Windows預(yù)先確定由系統(tǒng)組件記錄的事件。

10.2.2事件參數(shù)

信息含義日期事件發(fā)生的日期。時(shí)間事件發(fā)生的本地時(shí)間。用戶事件發(fā)生所代表的用戶的名稱。如果事件實(shí)際上是由服務(wù)器進(jìn)程所引起的，則該名稱為客戶

ID；如果沒有發(fā)生模擬的情況，則為主

ID。在可用時(shí)，安全性日志條目包括主

ID和模擬

ID。當(dāng)服務(wù)器允許一個(gè)進(jìn)程采用另一個(gè)進(jìn)程的安全屬性時(shí)，則產(chǎn)生模擬。計(jì)算機(jī)產(chǎn)生事件的計(jì)算機(jī)的名稱。這通常是您自己的計(jì)算機(jī)的名稱，除非您在另一臺(tái)計(jì)算機(jī)上查看事件日志。事件

ID識(shí)別特殊事件類型的編號(hào)。描述的第一行一般包含事件類型的名稱。例如，6005是在啟動(dòng)事件日志服務(wù)時(shí)所發(fā)生事件的

ID。這類事件描述的第一行是“事件日志服務(wù)已啟動(dòng)”。”產(chǎn)品支持代表可使用事件

ID和事件來(lái)源解決系統(tǒng)問(wèn)題。來(lái)源記錄事件的軟件，可以是程序名（如

"SQLServer,"）、系統(tǒng)的組件（如驅(qū)動(dòng)程序）或大程序的組件。例如，"Elnkii"表示

EtherLinkII的驅(qū)動(dòng)程序。類型事件嚴(yán)重性的分類：系統(tǒng)和應(yīng)用程序日志里的錯(cuò)誤、信息或警告與安全性日志中的成功審核或失敗審核。在“事件查看器”中的正常列表方式下查看，它們都由一個(gè)符號(hào)表示。類別按事件來(lái)源分類事件。該信息主要用于安全性日志。例如，對(duì)于安全審核，它對(duì)應(yīng)于可在組策略中啟用成功或失敗審核的其中一個(gè)事件類型。10.2.3事件類型

所記錄的每個(gè)事件的說(shuō)明取決于事件類型。日志中的每個(gè)事件都可歸類為以下類型之一：

1、信息

：描述任務(wù)（如應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)）成功運(yùn)行的事件。例如，當(dāng)網(wǎng)絡(luò)驅(qū)動(dòng)程序成功加載時(shí)將記錄“信息”事件。2、警告

：不一定重要但可能表明將來(lái)有可能出現(xiàn)問(wèn)題的事件。例如，當(dāng)磁盤空間快用完時(shí)將記錄“警告”消息。

3、錯(cuò)誤：描述重要問(wèn)題（如關(guān)鍵任務(wù)失?。┑氖录！板e(cuò)誤”事件可能涉及數(shù)據(jù)丟失或功能缺失。例如，當(dāng)啟動(dòng)過(guò)程中無(wú)法加載服務(wù)時(shí)將記錄“錯(cuò)誤”事件。

4、成功審核（安全日志）

：描述成功完成受審核安全事件的事件。例如，當(dāng)用戶登錄到計(jì)算機(jī)上時(shí)將記錄“成功審核”事件。

5、失敗審核（安全日志）：描述未成功完成的受審核安全事件的事件。例如，當(dāng)用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器時(shí)可能記錄“失敗審核”事件。10.2.4查看日志

要打開事件查看器，請(qǐng)按照下列步驟操作：?jiǎn)螕簟鹃_始】，然后單擊【控制面板】。再單擊【管理工具】，然后雙擊【計(jì)算機(jī)管理】，在控制臺(tái)樹中單擊【事件查看器】。應(yīng)用程序日志、安全日志和系統(tǒng)日志顯示在【事件查看器】窗口中。如圖10-1所示。圖10.1安全日志10.3安全日志

任務(wù)描述2:對(duì)于管理員來(lái)說(shuō)，很重要的一點(diǎn)是保護(hù)你的信息和服務(wù)資源不會(huì)被不應(yīng)訪問(wèn)的人訪問(wèn)，同時(shí)還要使這些資源能夠被授權(quán)的用戶訪問(wèn)。那么如何使用

Windows安全功能審核對(duì)資源的訪問(wèn)呢？我們可以配置安全日志以記錄有關(guān)目錄和文件訪問(wèn)或者服務(wù)器事件的信息?？梢允褂?/p>

Microsoft管理控制臺(tái)

(MMC)中的“審核策略”設(shè)置此審核級(jí)別。這些事件都記錄在“Windows安全日志”中。“安全日志”可以記錄安全事件，如有效和無(wú)效的登錄嘗試以及與資源使用相關(guān)的事件（如創(chuàng)建、打開或者刪除文件）。必須以管理員身份登錄才能控制要審核哪些事件，以及在“安全日志”中顯示哪些事件。技能要求：了解安全日志的的作用，學(xué)會(huì)啟用本地

Windows安全審核的方法，學(xué)會(huì)保護(hù)日志文件、審核日志的方法。10.3.1啟用審核策略

審核日志是

Windows中本地安全策略的一部分，它是一個(gè)維護(hù)系統(tǒng)安全性的工具，允許你跟蹤用戶的活動(dòng)和

Windows系統(tǒng)的活動(dòng)，這些活動(dòng)稱為事件。

根據(jù)監(jiān)控審核結(jié)果，管理員就可以將計(jì)算機(jī)資源的非法使用消除或減到最??；通過(guò)審核日志，我們可以記錄下列信息：哪些用戶企圖登錄到系統(tǒng)中，或從系統(tǒng)中注銷、登錄或注銷的日期和時(shí)間是否成功等；哪些用戶對(duì)指定的文件、文件夾或打印機(jī)進(jìn)行哪種類型的訪問(wèn)；系統(tǒng)的安全選項(xiàng)進(jìn)行了哪些更改；用戶帳戶進(jìn)行了哪些更改，是否增加或刪除了用戶等等。通過(guò)查看這些信息，我們就能夠及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全隱患，通過(guò)了解指定資源的使用情況來(lái)指定資源使用計(jì)劃。在

Windows能夠?qū)徍藢?duì)文件和文件夾的訪問(wèn)之前，我們必須使用“組策略”管理單元在“審核策略”中啟用“審核對(duì)象訪問(wèn)”設(shè)置。如果不啟用，當(dāng)設(shè)置文件和文件夾的審核時(shí)，就會(huì)收到錯(cuò)誤消息，并且不會(huì)審核任何文件或文件夾。在“組策略”中啟用審核之后，在“事件查看器”中查看安全日志，了解對(duì)審核文件和文件夾有哪些成功或者失敗的訪問(wèn)嘗試。注意：如果審核項(xiàng)對(duì)話框中訪問(wèn)下的復(fù)選框是灰色的，或者訪問(wèn)控制設(shè)置對(duì)話框中的刪除按鈕不可用，則表明已從父文件夾繼承了審核。因?yàn)椤鞍踩比罩居写笮∠拗?，所以?qǐng)仔細(xì)選擇要審核的文件和文件夾。還要考慮用于“安全”日志的磁盤空間大小。最大大小是在“事件查看器”中定義的。10.3.2日志文件的保護(hù)

日志文件對(duì)我們?nèi)绱酥匾?，因此不能忽視?duì)它的保護(hù)，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。

1、修改日志文件存放目錄

Windows日志文件默認(rèn)路徑是“%systemroot%system32/config”，我們可以通過(guò)修改注冊(cè)表來(lái)改變它的存儲(chǔ)目錄，來(lái)增強(qiáng)對(duì)日志的保護(hù)。具體操作，點(diǎn)擊“開始→運(yùn)行”，在對(duì)話框中輸入“Regedit”，回車后彈出注冊(cè)表編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System幾個(gè)子項(xiàng)分別對(duì)應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。我們以應(yīng)用程序日志為例，將其轉(zhuǎn)移到“d:\ap”目錄下。選中Application子項(xiàng)（如圖10-4所示），在右欄中找到File鍵，其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%\system32\winevt\Logs\Application.evtx”，將它修改為“d:\ap\Application.evtx”。接著在D盤新建“ap”目錄，將“Application.evtx”拷貝到該目錄下，重新啟動(dòng)系統(tǒng)，完成應(yīng)用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項(xiàng)下操作，或建立一系列深目錄以存放新日志文件，如D:\01\02\03\04\05\06\07，起名的原則就是要越不引人注意越好。2、設(shè)置文件訪問(wèn)權(quán)限修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過(guò)修改日志文件訪問(wèn)權(quán)限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。右鍵點(diǎn)擊D盤的ap目錄，選擇“屬性”，切換到“安全”標(biāo)簽頁(yè)后，首先取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)勾選。接著在賬號(hào)列表框中選中“Everyone”賬號(hào)，只給它賦予“讀取”權(quán)限；然后點(diǎn)擊“添加”按鈕，將“System”賬號(hào)添加到賬號(hào)列表框中，賦予除“完全控制”和“修改”以外的所有權(quán)限，最后點(diǎn)擊“確定”按鈕。這樣當(dāng)用戶清除Windows日志時(shí)，就會(huì)彈出錯(cuò)誤對(duì)話框。10.3.4審核事件ID

在Windows日志中記錄了很多操作事件，為了方便用戶對(duì)它們的管理，每種類型的事件都賦予了一個(gè)惟一的編號(hào)，這就是事件ID。1、查看正常開關(guān)機(jī)記錄在Windows系統(tǒng)中，我們可以通過(guò)事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開、關(guān)機(jī)記錄，這是因?yàn)槿罩痉?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉，并在日志中留下記錄。這里我們要介紹兩個(gè)事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動(dòng)，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件，就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止，如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件，就表示計(jì)算機(jī)在這天沒有正常關(guān)機(jī)，可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒有執(zhí)行正常的關(guān)機(jī)操作。2、查看DHCP配置警告信息在規(guī)模較大的網(wǎng)絡(luò)中，一般都是采用DHCP服務(wù)器配置客戶端IP地址信息，如果客戶機(jī)無(wú)法找到DHCP服務(wù)器，就會(huì)自動(dòng)使用一個(gè)內(nèi)部的IP地址配置客戶端，并且在Windows日志中產(chǎn)生一個(gè)事件ID號(hào)為1007的事件。如果用戶在日志中發(fā)現(xiàn)該編號(hào)事件，說(shuō)明該機(jī)器無(wú)法從DHCP服務(wù)器獲得信息，就要查看是該機(jī)器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問(wèn)題。10.4性能監(jiān)視及優(yōu)化

任務(wù)描述3:隨著Windows上用戶的數(shù)量、服務(wù)對(duì)象及應(yīng)用的增多，操作系統(tǒng)的處理能力有時(shí)會(huì)明顯降低，這就需要系統(tǒng)或網(wǎng)絡(luò)管理員通過(guò)一些管理工具來(lái)對(duì)服務(wù)器進(jìn)行監(jiān)控和維護(hù)，以保證系統(tǒng)或網(wǎng)絡(luò)正常、高效運(yùn)行。本節(jié)主要介紹Windows服務(wù)器中有關(guān)系統(tǒng)性能監(jiān)視和網(wǎng)絡(luò)監(jiān)視器的配置，性能監(jiān)控對(duì)象的添加、刪除以及對(duì)相應(yīng)的性能指標(biāo)給出參考值，以便判斷系統(tǒng)的性能是否在正常的范圍，并對(duì)系統(tǒng)的升級(jí)和優(yōu)化提供參考意見。最后給出利用網(wǎng)絡(luò)監(jiān)視器分析網(wǎng)絡(luò)性能的例子。技能要求：掌握系統(tǒng)性能監(jiān)視器配置的方法，掌握對(duì)系統(tǒng)性能數(shù)據(jù)分析的方法，了解網(wǎng)絡(luò)監(jiān)視器的工作原理，掌握網(wǎng)絡(luò)監(jiān)視器的使用方法。1、鼠標(biāo)單擊“開始-運(yùn)行”菜單，在運(yùn)行中輸入“MMC”打開管理控制臺(tái)，第一次運(yùn)行的控制臺(tái)是空白的，可以按照需要添加各種管理單元，在“文件”菜單上單擊“添加/刪除管理單元”

10.4.1系統(tǒng)性能監(jiān)視器的使用

2、在打開的對(duì)話框中，系統(tǒng)已經(jīng)提供了很多的基本管理單元，而且在系統(tǒng)安裝了某些具有符合MMC管理功能的第三方軟件之后，可以把這些軟件添加到控制臺(tái)中。要添加系統(tǒng)性能控制模塊，可以選擇文件-打開選項(xiàng)，在“%Systemroot%\System32”文件夾中，找到名為“perform.msc”的文件，然后雙擊打開即可啟動(dòng)性能監(jiān)視器在系統(tǒng)的性能監(jiān)控中，對(duì)于各種性能數(shù)據(jù)可以通過(guò)圖形、直方圖或報(bào)表視圖等多種形式顯示數(shù)據(jù)。通過(guò)管理控制臺(tái)，可以創(chuàng)建重復(fù)使用的監(jiān)視配置，這些配置可以安裝在使用

Microsoft管理控制臺(tái)（MMC）的任何計(jì)算機(jī)上。使用系統(tǒng)監(jiān)視器，可以收集和查看有關(guān)硬件資源的使用和系統(tǒng)服務(wù)的各種活動(dòng)數(shù)據(jù)系統(tǒng)監(jiān)視器10.4.2性能監(jiān)視器的配置基礎(chǔ)

1、選擇監(jiān)視方法

圖形對(duì)于本地或遠(yuǎn)程計(jì)算機(jī)的短期實(shí)時(shí)監(jiān)視是最為有效的方式。例如要在系統(tǒng)事件發(fā)生時(shí)觀察該事件，其中選擇合適的更新間隔，以便捕獲感興趣的活動(dòng)類型。日志對(duì)于保留記錄和延長(zhǎng)監(jiān)視（尤其是遠(yuǎn)程計(jì)算機(jī)）非常有用；記錄的數(shù)據(jù)可以導(dǎo)出并生成報(bào)告或使用“系統(tǒng)監(jiān)視器”提供圖表或直方圖。日志是監(jiān)視多臺(tái)計(jì)算機(jī)最實(shí)用的方法。

2、選擇監(jiān)視頻率

對(duì)于常規(guī)監(jiān)視，通?？梢杂贸^(guò)15分鐘的間隔來(lái)記錄活動(dòng)。如果要監(jiān)視特定的問(wèn)題，則必須改變時(shí)間間隔。如果要在特定時(shí)間內(nèi)監(jiān)視特定進(jìn)程的活動(dòng)，可以設(shè)置較短的更新時(shí)間間隔；反之，若要監(jiān)視慢速顯示的問(wèn)題（如內(nèi)存溢出），則使用較長(zhǎng)的間隔。選擇時(shí)間間隔時(shí)，還要考慮要監(jiān)視的總時(shí)間長(zhǎng)度。如果監(jiān)視不超過(guò)4個(gè)小時(shí)，則每15秒更新一次比較合理；如果要監(jiān)視系統(tǒng)8個(gè)小時(shí)或更長(zhǎng)時(shí)間，則設(shè)置的間隔不要少于300秒。將更新間隔設(shè)置為高頻率可能使系統(tǒng)生成大量數(shù)據(jù)，但這可能難于處理并增加運(yùn)行性能日志和警報(bào)的總開銷。

3、保存性能數(shù)據(jù)的記錄“性能日志和警報(bào)”能夠?qū)⑷罩拘阅軘?shù)據(jù)記錄到

SQL數(shù)據(jù)庫(kù)中。如果將記錄的數(shù)據(jù)保留在數(shù)據(jù)庫(kù)中，可以查詢這些信息并將其包含在報(bào)告中。使用數(shù)據(jù)庫(kù)分析工具可以查詢結(jié)果并使用各種參數(shù)詳細(xì)檢查結(jié)果，甚至可以顯示出圖形的界面。10.4.3系統(tǒng)監(jiān)視配置的實(shí)例

系統(tǒng)默認(rèn)的監(jiān)控界面沒有任何可監(jiān)控的數(shù)據(jù)項(xiàng)，下面通過(guò)例子介紹如何添加一個(gè)新的監(jiān)控選項(xiàng)。操作步驟如下：（1）在如圖10-7所示監(jiān)控的圖表區(qū)域單擊鼠標(biāo)右