系统审核与日志.doc

信息安全技术审核与日志一、训练目标1、能设置操作系统审核2、会查看操作系统日志3、能性能日志与警报监视系统运行情况二、实训环境要求安装XP或Windows Server 2003计算机三、实训内容日志什么是日志文件？它是一些文件系统集合，依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时，数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的，无论是网络管理员还是 黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防，日志的重要性由此可见。 （1）日志文件的位置 Windows 2000的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config。 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT 有的管理员很可能将这些日志重定位（所以日志可能不在上面那些位置）。 （2）清除自己电脑中的日志 如果你要清除自己电脑中的日志，可以用管理员的身份来登录Windows，然后在“控制面板”中进入“管理工具”，再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了，里面有应用程序、安全和系统日志文件。举个例子，比方说你想清除安全日志，可以右键点击“安全日志”，在弹出的菜单中选择“属性”。接下来在弹出的对话框中，点击下面“清除日志”按钮就可以清除了，如果你想以后再来清除这些日志的话，可以将“按需要改写尺寸”，这样就可以在达到最大日志尺寸时进行改写事件了，不会提示你清除日志。 （2）清除远程主机中的日志 获取远程主机的超级用户密码使用空连接，用超级用户administrator用户登录系统：C:net use 127.0.0.1IPC$ /user:admintitrators开启远程主机的Telnet服务使用telnet 远程主机的IP 登录远程主机 del c:windowssystem32config*.evtdel c:windowssystem32*.log del c:windows*.log（4）移动日志文件的位置为了防止日志文件不被外人随意访问，我们必须让日志文件挪移到一个其他人根本无法找到的地方，例如可以在D：分区下新建一个AAA的目录。正式挪移日志文件，将对应的日志文件从原始位置直接复制到新目录位置AAA修改注册表做好系统与日志文件的关联，打开注册表编辑窗口；依次展开“HKEY_LOCAL_MACHINE”system” “currencontrolset” “services” “eventlog”，在“eventlog”项目下看到”system” “security”application”这三个子项。在对应的”system”注册表项目的右侧显示区域中，用鼠标双击“File”键值，然后在“数值数据”中输入“d:aaa“，同样更改“security”application”下面的“File”键值。最后按一下F5键刷新注册表。 任务1、系统审计的实现（1）打开本地安全策略，设置审核对象访问为成功； （2）在NTFS分区上新建一个文件夹ab，打开“属性”-“安全” - “高级” - “审核”，按以下要求设置审核规则：创建文件夹 成功删除文件夹 成功 失败（3）在ab文件夹下创建一个文件夹，然后删除刚建立的文件夹（4）在系统日志中查看审核规则的记录任务2、创建和配置“磁盘空间不足”警报在系统监视器中创建警报以跟踪可用磁盘空间1. 单击开始，指向管理工具，然后单击性能。 2. 展开“性能日志和警报”。 3. 右键单击警报，然后单击新的警报设置。 4. 在新的警报设置 框中，键入新警报的名称（例如，可用磁盘空间），然后单击确定。5. 屏幕上会出现警报名称 对话框，您可以在此对话框中为所创建的警报配置设置。 6. 单击常规 选项卡，然后在注释 框中，键入监视本地驱动器上的可用磁盘空间。配置警报1. 单击添加 ，以打开添加计数器 对话框。 2. 单击“从计算机选择计数器”，然后从列表中选择您的计算机。 3. 在“性能对象”框中单击逻辑磁盘（Logicaldisk）。 4. 单击“从列表选择计数器”，然后单击“% 可用空间”(% Free Space)。 5. 单击“从列表选择接口”，然后单击希望监视的逻辑驱动器或卷。 6. 单击添加 ，添加计数器，然后单击关闭。 7. 在“将触发警报，如果值是”框中，单击低于，然后在限制 框中键入所需的值。例如，要在磁盘空间少于 95%，请键入 95。 8. 接受“示例数据时间间隔”中的默认值 5 秒，或者指定所需的值。 9. 单击应用。 10. 单击操作 选项卡，然后指定要在发生警报时执行的操作： o 如果希望“性能日志和警报”服务在警报发生时创建事件查看器的应用程序日志项，请单击“将项记入应用程序事件日志”复选框，将其选中。 o 如果希望“性能日志和警报”服务触发“信使”服务来发送消息，请单击“发送网络信息到”复选框，将其选中，然后键入要用于显示警报的计算机的 IP 地址或名称。 o 要在警报发生时运行计数器日志，请单击“启动性能数据日志”复选框，将其选中，然后指定要运行的计数器日志。 o 要在警报发生时运行命令或程序，请单击“执行这个程序”复选框，将其选中，然后键入要运行的程序或命令的文件路径和名称。或者，单击浏览 以定位该文件。o 当警