《不花钱解决网络安全问题》摘记
这一系列文章是阅读《Secure Your Network for Free: Using NMAP, WIRESHARK, SNORT, NESSUS, and MRTG》时的摘要记录,并非原文翻译,仅供学习者参考。如果对部分技术内容的细节感兴趣,可以查阅原书或其他相关技术讨论文章。
第五章 管理事件日志
Windows 事件日志
Windows 事件日志分为六类:应用、安全、系统、目录服务,DNS,文件复制。Windows 提供事件查看器 eventvwr.exe 来帮助查看日志。
- 利用组策略生成事件日志:可以在微软管理命令行(MMC)配置审计策略以生成事件日志。可以对用户登录、账户管理、目录服务接入、系统登录、目标(打印机、注册表、文件夹、文件等由 SACL 定义的内容)接入、策略更改、权限使用、进程追踪、系统时间等内容进行审计。可以将审计策略应用于域控制器以实现对所有用户的监测。
- 生成定制的事件日志条目:logevent.exe 和 eventcreate.exe 可以协助你生成定制的事件日志条目。
- 集中事件日志:当你想查看网络上多台主机的事件日志时,将它们统一收集会使分析工作更加便利。eventlog.pl 可以将日志导出到文本文件。eventquery.vbs 可以协助过滤事件。EventCombMT 是一款有 GUI 的工具,可以协助进行远程日志查询和导出。Log Parser 可以协助进行日志的解析。
- 分析事件日志:除了导出日志 eventlog.pl 还可以清除日志、查询日志属性,结合 eventquery.vbs 可以列出大部分的安全事件。当你想在产生日志的主机上进行日志处理是,可以使用 eventtrigg