所有审核事件都记录在 Windows事件查看器中的安全事件日志里。这些事件通常都是无法立即对其采取操作的,实际上它们一般都属于信息性内容。对所发生的每个特定类型的访问,每个事件都记录一个简单的“审核成功”或“审核失败”。这不同于那些应用程序或系统事件日志,它们可通过彩色编码来识别问题(提示:可通过查找红色事件来追踪问题)。

  安全事件日志与此完全不同,因为审核的事件通常被其数量所掩盖,并且如前所述,安全数据的关联可能会带来重大的挑战。即使是单一系统上的简单数据破坏也会成为问题。此时可能需要对安全事件日志加以分析,以确定哪个帐户被用来访问该数据,这就需要管理员回溯查看整个日志以尝试找到该帐户。遗憾的是,当今一些较为复杂的***通常是协调、分散的,这使得受害者在进行此类分析时非常困难。

  也就是说,了解使信息能够记录在 Windows 的安全事件日志中的以下关键要素非常重要:“审核策略”和“系统访问控制列表”(SACL)。对于本地计算机而言,“审核策略”是可以通过“组策略”或“本地安全策略”进行配置的设置,可定义特定访问类型的成功和失败事件集合。以下主要“审核策略”类别在 Windows 中已存在多年(稍后在 Windows Server 2008 的新“Granular Audit Policy”中还会介绍更多策略):

  ●审核帐户登录事件

  ●审核帐户管理

  ●审核目录服务访问

  ●审核登录事件

  ●审核对象访问

  ●审核策略变更

  ●审核权限使用

  ●审核过程跟踪

  ●审核系统事件

  通常大多数 IT 组织都非常了解定义“审核策略”的需求以及这些相关的类别,但是“审核策略”只代表其中一部分解决方案。 在实现全面审核计划方面也扮演着一个重要角色。两个特定的“审核策略”类别(审核目录服务访问和审核对象访问)完全取决于 SACL 在安全事件日志中返回的信息。那么 SACL 究竟是什么?

  每个对象(文件、注册表或目录服务)都有一个“访问控制列表”(ACL),其中包含一个或多个被分为以下两种类型的“访问控制项”(ACE):“随机访问控制列表”(DACL) 和 SACL(后者定义的设置会记录试图对安全对象进行的访问)。SACL 中的每个 ACE 都指定了应记录在安全事件日志中的特定托管人的访问尝试类型。ACE 用来定义对指定对象的成功和/或失败的访问尝试记录。

服务器推荐配置

151121848.png

如果要记录被防火墙过滤阻挡的访问,则“审核对象访问”选中“失败”或“成功”。WEB服务器建议使用默认“无审核”,不然会产生大量日志。若需要记录服务器被访问的情况,则可以启用“成功”。

Windows日志转SYSLOG使用!