系统审核与日志

《Web 应用技术》

第 1 页 共 3 页

审核与日志

一、训练目标

1、能设置操作系统审核

2、会查看操作系统日志

3、能性能日志与警报监视系统运行情况

二、实训环境要求

安装XP 或Windows Server 2003计算机

三、实训内容

日志

什么是日志文件？它是一些文件系统集合，依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时，数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的，无论是网络管理员还是 黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防，日志的重要性由此可见。

（1）日志文件的位置

Windows 2000的系统日志文件有应用程序日志，安全日志、系统日志、DNS 服务器日志等等，应用程序日志、安全日志、系统日志、DNS 日志默认位置：%systemroot%system32config 。

安全日志文件：%systemroot%system32configSecEvent.EVT

系统日志文件：%systemroot%system32configSysEvent.EVT

应用程序日志文件：%systemroot%system32configAppEvent.EVT

有的管理员很可能将这些日志重定位（所以日志可能不在上面那些位置）。

（2）清除自己电脑中的日志

如果你要清除自己电脑中的日志，可以用管理员的身份来登录Windows ，然后在“控制面板”中进入“管理工具”，再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了，里面有应用程序、安全和系统日志文件。举个例子，比方说你想清除安全日志，可以右键点击“安全日志”，在弹出的菜单中选择“属性”。接下来在弹出的对话框中，点击下面“清除日志”按钮就可以清除了，如果你想以后再来清除这些日志的话，可以将“按需要改写尺寸”，这样就可以在达到最大日志尺寸时进行改写事件了，不会提示你清除日志。

（2）清除远程主机中的日志

获取远程主机的超级用户密码使用空连接，用超级用户administrator 用户登录系统：

C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"

开启远程主机的Telnet服务

使用telnet \\远程主机的IP 登录远程主机

del c:windows\system32\config\*.evt

del c:windows\system32\*.log

del c:windows\*.log

（4）移动日志文件的位置

为了防止日志文件不被外人随意访问，我们必须让日志文件挪移到一个其他人根本无法找到的地方，例如可以在D：分区下新建一个AAA的目录。

正式挪移日志文件，将对应的日志文件从原始位置直接复制到新目录位置AAA

修改注册表做好系统与日志文件的关联，打开注册表编辑窗口；依次展开“HKEY_LOCAL_MACHINE””system”“cur rencontrolset”“services”“eventlog”，在“eventlog”项目下看到”system”“security””application”这三个子项。

在对应的”system”注册表项目的右侧显示区域中，用鼠标双击“File”键值，然后在“数值数据”中输入“d:\aaa“，同样更改“security””application”下面的“File”键值。最后按一下F5键刷新注册表。

任务1、系统审计的实现

（1）打开本地安全策略，设置审核对象访问为成功；

（2）在NTFS分区上新建一个文件夹ab，打开“属性”->“安全”-> “高级”-> “审核”，按以下要求设置审核规则：

创建文件夹成功

删除文件夹成功失败

（3）在ab文件夹下创建一个文件夹，然后删除刚建立的文件夹

（4）在系统日志中查看审核规则的记录

任务2、创建和配置“磁盘空间不足”警报

在系统监视器中创建警报以跟踪可用磁盘空间

1.

单击开始，指向管理工具，然后单击性能。

2.展开“性能日志和警报”。

3.右键单击警报，然后单击新的警报设置。

4.在新的警报设置框中，键入新警报的名称（例如，可用磁盘空间），然后单击确定。

5.屏幕上会出现警报名称对话框，您可以在此对话框中为所创建的警报配置设置。

2