两个问题需要讨论:一是审核的对象,二是审核的方式
首先谈审核的对象,在2000系统中,有安全审核策略,但默认是关闭的,需要手工
在安全策略中打开,
审核的对象。不要一骨脑全选上,结果是在日志中有一大堆的记录,都不知道看什
么好。
其次是审核的方式,除了系统安全审核(如用户登录、注销、目录访问等),系统
还有访问审核和文件审核。你可以对重要文件加以严格审核,可以审核到哪些人什
么时间使用了该文件,做了什么操作等。这些需要在资源管理器里自己设置(必须
是NTFS格式)。
日志的位置和分析:
事件里的安全日志是系统安全审核的记录所在,应根据你选择的审核对象和记录产
生速度定义好大小,一般建议为1024M,也就是1G,并定义处理方式为覆盖30天前
的数据,这样日志中就可以保存30天的数据资料,应该够用了,如果你选择了按需
要覆盖,则系统记录满后将自动覆盖最早的数据(不建议),如果你选择了手工清
除,请确保你的日志大小足够大,关于安全审核和日志分析技巧浅谈》(https://www.unjs.com)。安全日志记录满后如果不能自动处理,将禁止用
户使用计算机的。安全日志不能正确记录时,系统将立即关闭计算机。这些也可以
在策略中修改。这里需要特别注意的是,当发现一个审核失败时,并不一定意味着
是一个安全问题,在正常操作中,偶然也会发生目录访问或特权使用失败的情况,
应特殊问题特殊对待。
IIS(WEB管理)的日志是在IIS中设置的,你可以在IIS管理器的站点中设置日志的
位置、周期和记录内容。这里特别要强调一下,协议状态是很重要的参数,它指示
着协议是否正确有效的被执行了。这是判断是否有人通过IIS执行过特殊命令的有
效方式。同样记录的内容不要太乱,否则将给日志的分析带来困难。
TS(终端服务)的日志默认是没有的,需要在终端配置管理中启用日志审核。
对于日志的分析,应注意时间、地点和行为的关系,根据行为的严重性判断和分析
。要特别注意的是,多数日志是不能记录来访人的IP地址的,只能记录下来访人的
计算机名(这是没有意义的),所以,应该将多个日志结合分析,以便得到有效的
证据,当然,日志分析是一门学问,并非象你想象的那样简单。具体的还是要你自
己去做过才知道。