系统审核与日志.doc

系统审核与日志■Ihr HEVU AN FM JB. VTEC H ：N EC 一审核与日志一、 训练目标1能设置操作系统审核2、 会查看操作系统日志3、 能性能日志与警报监视系统运行情况二、 实训环境要求安装 XP 或 Windows Server 2003 计算机三、 实训内容日志什么是日志文件？它是一些文件系统集合，依靠建立起的各种数据的日志文件而存在在任 何系统发生崩溃或需要重新启动时，数据就遵从日志文件中的信息记录原封不动进行恢复日志 对于系统安全的作用是显而易见的，无论是网络管理员还是 黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的黑客会在入侵成功后迅速清 除掉对自己不利的日志无论是攻还是防，日志的重要性由此可见1） 日志文件的位置Windows 2000的系统日志文件有应用程序日志， 安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、 DNS日志默认位置：％systemroot%system32config安全日志文件：％systemroot%system32c on figSecEve nt.EVT系统日志文件：％systemroot%system32co nfigSysEve nt.EVT应用程序日志文件： ％systemroot%system32co nfigAppEve nt.EVT有的管理员很可能将这些日志重定位（所以日志可能不在上面那些位置） 。

2） 清除自己电脑中的日志如果你要清除自己电脑中的日志，可以用管理员的身份来登录 Windows，然后在 控制面板”中进入 管理工具”，再双击里面的 事件查看器”打开后我们就可以在这里清除日志文件了，里 面有应用程序、安全和系统日志文件举个例子，比方说你想清除安全日志，可以右键点击 安全日志”，在弹出的菜单中选择 属性”接下来在弹出的对话框中，点击下面 清除日志”按钮就可以清除了，如果你想以后再来清除这些日志的话，可以将 按需要改写尺寸”，这样就可以在达到最大日志尺寸时进行改写事件了，不会提示你清除日志2）清除远程主机中的日志获取远程主机的超级用户密码使用空连接，用超级用户 admi ni strator 用户登录系统：讦■诃诛輕童枝卡争Mt《信息安全技术》HEirLTAN FOLYTECZEI NIC开启远程主机的Telnet服务使用 远程主机的IP登录远程主机del c:wi ndows\system32\co nfig\*.evtdel c:wi ndows\system32\* .logdel c:wi ndows\* .log(4)移动日志文件的位置为了防止日志文件不被外人随意访问，我们必须让日志文件挪移到一个其他人根本无法找到 的地方，例如可以在 D:分区下新建一个AAA的目录。

正式挪移日志文件，将对应的日志文件从原始位置直接复制到新目录位置 AAA修改注册表做好系统与日志文件的关联，打开注册表编辑窗口；依次展开 “ HKEY_LOCAL_MACHINE ” ” system” “ cure neon trolset ” services” eve ntlog ”，在 eve ntlog” 项目下看至U ” system” “ security ” ”application ”这三个子项在对应的” system注册表项目的右侧显示区域中，用鼠标双击“ File”键值，然后在“数值数据”中输入“ d:\aaa “，同样更改“security ” ” ap plicatio n ”下面的“ File ”键值最后按一下F5键 刷新注册表任务1、系统审计的实现(1) 打开本地安全策略，设置审核对象访问为成功；(2) 在NTFS分区上新建一个文件夹ab，打开“属性”-> “安全”-> “高级”-> “审核”， 按以下要求设置审核规则：创建文件夹 成功删除文件夹 成功 失败(3) 在ab文件夹下创建一个文件夹，然后删除刚建立的文件夹(4) 在系统日志中查看审核规则的记录任务2、创建和配置磁盘空间不足”警报 在系统监视器中创建警报以跟踪可用磁盘空间1. 单击开始，指向管理工具，然后单击性能。

2. 展开性能日志和警报”3. 右键单击警报，然后单击新的警报设置4. 在新的警报设置 框中，键入新警报的名称(例如，可用磁盘空间)，然后单击确定5. 屏幕上会出现警报名称 对话框，您可以在此对话框中为所创建的警报配置设置昭诃沐輕*枝忒学擁 《信息安全技术》Ft JI-YT EC：H NIC：6. 单击常规 选项卡，然后在注释 框中，键入监视本地驱动器上的可用磁盘空间 配置警报1. 单击添加，以打开添加计数器对话框2. 单击从计算机选择计数器”，然后从列表中选择您的计算机3. 在性能对象”框中单击逻辑磁盘(Logicaldisk )4. 单击 从列表选择计数器”，然后单击 % 可用空间”(％ Free Space) 5. 单击从列表选择接口 ”，然后单击希望监视的逻辑驱动器或卷6. 单击添加，添加计数器，然后单击关闭7. 在 将触发警报，如果值是”框中，单击低于，然后在限制 框中键入所需的值例如， 要在磁盘空间少于95% ，请键入958. 接受 示例数据时间间隔”中的默认值5秒，或者指定所需的值9. 单击应用10. 单击操作 选项卡，然后指定要在发生警报时执行的操作:如果希望 性能日志和警报”服务在警报发生时创建事件查看器的应用程序日志项, 请单击 将项记入应用程序事件日志”复选框，将其选中。

如果希望 性能日志和警报”服务触发 信使”服务来发送消息，息到”复选框，将其选中，然后键入要用于显示警报的计算机的要在警报发生时运行计数器日志，请单击然后指定要运行的计数器日志启动性能数据日志请单击发送网络信IP地址或名称 ”复选框，将其选中,要在警报发生时运行命令或程序，请单击 键入要运行的程序或命令的文件路径和名称执行这个程序”复选框，将其选中，然后 或者，单击浏览 以定位该文件当警报发生时，该服务就创建一个进程并运行指定的命令文件该服务还将您定义 的任何命令行参数复制到用于运行该文件的命令行单击命令行参数，然后单击相应的 复选框，将其选中，以包括程序运行时要执行的参数11.单击应用12.单击确定。