监视Windows事件日志 - 教程

部分 I - 入门介绍

介绍

这个教程专门用来帮助您了解,如何通过辨别和监视关键的Windows事件日志,关注您的Windows安全和主动防止性能退化。

这个教程分为两个部分,在第一个部分,主要为您介绍什么是事件日志,以及您为什么需要监视它。如果您是一个经验丰富的管理员或者工程师,可以直接参阅part II,了解如何设置事件日志监视。

事件日志是什么,为什么要监视,怎么监视

事件日志记录了所有发生在系统上的操作,如访问、删除、添加文件或者应用,修改系统日期,关闭系统,修改系统配置等,存储在本地文件中。 这些事件分类为系统、安全、应用、目录服务、DNS服务器和DFS复制等类别。 目录服务、DNS服务器和DFS复制日志仅对活动目录。与系统或数据安全相关的事件称为安全事件,而它的日志文件则称为安全日志。

请参阅以下部分,了解明细信息:

事件日志类别

事件日志按照组件的类别进行分类,包括系统、系统安全、以及系统上安装的应用等。某些应用会将时间记录到一个自定义的类别,而不是默认的应用分类。

事件日志类别 描述
应用日志 记录的所有应用事件,这是由程序员在开发软件的时候进行设定的。如:记录应用启动的错误到应用事件日志中。
系统日志 记录的所有操作系统事件。如:在系统启动的时候,启动驱动器失败事件会登记在系统日志中。
安全日志 记录任意与系统安全相关的日志。如:有效和无效的登陆和注销,文件的删除等。
目录服务日志 记录活动目录的时间,这个日志仅出现在域服务器上。
DNS服务器日志 记录DNS服务器和名称解析日志,这个日志仅出现在DNS服务器上。
文件复制服务日志 记录域控制器的复制事件,这个日志仅出现在域服务器上。

事件日志的类型

每个事件条目按照类型来鉴定严重的事件,时间的类型包括信息、警告、错误、成功审计(安全日志)和失败审计(安全日志)。

时间类型 描述
信息 描述任务操作执行成功的事件,如应用、驱动器或服务。例如,当一个网络驱动器加载成功的时候,会记录一个信息事件。
警告 描述任务操作执行成功的事件,如应用、驱动器或服务。例如,当一个网络驱动器加载成功的时候,会记录一个信息事件。
错误 记录可能不重要,但是有可能会造成未知问题的事件。如:当磁盘运行空间不足。
成功审计(安全日志) 描述成功完成安全事件审计的事件,如:当用户登录到计算机,会记录一条成功的审计事件。
失败审计(安全日志) 述没有完成安全事件审计的事件,如:用户登录失败,会记录一条失败的审计事件。

时间查看器列出的事件日志:

Event Types

了解一个事件

在事件查看器中列出了事件的标题和描述信息。

标题 描述
日期 事件产生的日期
时间 事件产生的时间
用户 当事件产生时,登陆到计算机的用户
计算机 产生事件的计算机
事件ID 事件编号用于辨别事件的类型,帮助了解事件的更多信息。
事件生成的源,它可能是应用也可能是系统组件。
类型 事件的类型(信息、警告、错误、成功审计和失败审计)

双击一个事件查看明细。

Event Details

安全日志是怎么防止黑客和数据被盗的?

安全是当今业务所面临的最重要的问题,随着诸如黑客和数据盗窃的增多,如何保证关键数据的安全,成为各行业最为关心的话题。 大多数的行业机构研究显示,黑客和数据窃贼在盗取数据之前,都会出现大量不合法的登陆验证出现。审计非法或失败的登陆企图, 可以预防(或大大的减少)数据被盗。也就是说,我们必须了解操作系统可以提供什么样的安全防护,以及我们需要采取什么样的措施在系统上应用这样的安全防护。

需要审计和审计计划的事件

如果事件没有按照安全条件记录下来,那么也就意味着您的资源仍然存在暴露给黑客的风险。 您必须配置审计策略来审计安全事件,并记录这些事件。需要审计的关键安全事件:

  • 用户登录/退出
  • 计算机登陆/退出/重启
  • 访问对象、文件和目录
  • 系统时间变更
  • 审计日志被清除

您不必配置所有的审计策略,避免登记每个发生的动作,因为这样会出现巨大的日志文件容量, 日志在自动翻新时会删除较早的日志。正确的配置审计策略,对提高您的环境的安全性非常关键。

域控制器默认已启用关键事件的审计,对于其它的Windows设备,可在本地安全设置配置安全审计策略,可配置的策略:

  • 账户登录事件
  • 账户管理
  • 目录服务访问
  • 登陆事件
  • 对象访问
  • 策略变更
  • 权限使用
  • 进程追踪
  • 系统事件

监视事件日志需求

对于公共交易公司、医药行业,需要满足安全策略,如SOX、HIPAA等,要防止企图或成功的越权存取,必须具有相应的安全管理程序。 保护您的网络数据,对于行业安全标准,甚至是您的业务,是非常关键的。Windows事件是可追踪并记录登陆企图的来源之一, 手动检查繁多的Windows事件,几乎是不可能的,尤其需定期审计和监视事件日志。

在Windows中启用安全审计

高级的安全审计策略

事件日志监视工具 - 教程部分 II