系统事件、日志及警报管理_免费下载.doc

单元三 网络系统的安全配置与管理项目四系统事件、日志及警报管理教学目标1理解事件的基本信息、类型、分类2了解日志的安全性、审核策略、日志事件ID；3. 掌握将任务附加到日志、日志文件的导入与导出；4掌握系统监视器以及性能监视器添加及删除；教学要求1认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；2遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；3教学环境： Windows 7以及Windows server2003/2008以上操作系统。知识要点1理解事件的基本信息、类型、分类2了解日志的安全性、审核策略、日志事件ID；技术要点1掌握将任务附加到日志、日志文件的导入与导出；2掌握系统监视器以及性能监视器添加及删除等操作；技能训练一讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一)事件查看器1事件查看器的概述1)事件基本信息主要记录某一系统事件发生的日期、时间等基本信息，事件是操作系统在某一时刻对某一系统资源或网络资源发生的访问操作，而记录的一系列行为：日期、时间、用户、计算机、来源、事件、级别、关键字等2)事件的类型错误：指明出现了问题，可能会影响触发事件的应用程序或组件外部的功能。警告：提明出现的问题可能会影响服务器或导致更严重的问题。信息：指明应用程序或组件发生了变化更改。关键/Success Audit：指明出现故障导致触发事件的应用程序或组件可能无法自动恢复。审核失败：指明用户权限练习失败。3)事件日志分类 服务器角色 Windows系统日志 应用程序和服务日志主要来自单个应用程序或组件的事件。2查看事件信息事件日志记发事件发生的时间、事件来源、用户帐户、操作代码及了解详细相信息的超级链接。操作：事件查看器 Windows日志 安全 双击任一个日志，即可查看相关信息3将任务附加到日志 需要网上查询进一步理解利用通知、提醒功能，将计划任务或特殊任务附加到指定类型的事件，系统即可自动以某种方式通知用户：发送E-mail邮件、弹出提示信息、开启程序等。1)设置任务计划程序操作：事件查看器 Windows日志 右击Setup 将任务附加到日志 创建基本任务 设置任务名称“Setup”和描述信息“安装程序后向管理员发送E-Mail。” 下一步 下一步 选择“发送电子邮件” 下一步 输入发送及接收电子邮件地址等信息 下一步。2)修改任务计划程序操作：常用工具 任务计划程序 事件查看器任务 选择要修改的任务4日志的导出与导入安装Windows系统和网络服务时，系统已经选择了安全可靠的日志保存目录。任务1 日志的备份要求：导出和导入“安全”事件的日志步骤： 常用工具 事件查看器 Windows日志 右击“安全” 选择“将事件另存为” 文件名：安全事件1010 保存 选择“显示这些语言的消息”以及“显示所有可用的语言”，选择相匹配的语言类型 确定否则导出日志只能在本地计算机或本地计算机语言类型相同的其他计算机上打开。 导入：在其他计算机“事件查看器”窗口中右击导航栏中的任意项目 打开保存的文件 选择日志文件“安全事件1010” 确定选中“保存的日志”及所有用户即完成日志的导入 点击导航栏中“保存的日志”“安全事件1010” 选择右窗口的事件5订阅事件基于Windows Server 2008 R2系统的事件查看器可订阅来自其他Windows系统的事件日志，以管理员可轻松做到集中分析和监控计算机的状态。1）环境在源计算机上运行“Windows远程管理WinRM”和“Windows事件收集器Wecsvc”。2）配置计算机转发和接收事件3）创建订阅(二)日志的安全性1启用审核策略 审核策略更改确定是否审核用户权限分配策略、审核策略或信任策略的每一个更改事件。默认值:：在域控制器上为“成功”，在成员服务器上为“无审核”。 审核登录事件确定是否审核用户登录或注销、建立与该计算机的网络连接的每个实例。默认值: 成功。 审核对象访问确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。 审核进程跟踪确定是否审核事件的详细跟踪信息，例如程序激活、进程退出、句柄复制以及间接对象访问。 审核目录服务访问确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的 Active Directory 对象的事件。 审核权限使用确定是否审核执行用户权限的用户的每个实例。 审核系统事件确定在用户重新启动或关闭计算机时或者在发生影响系统安全或安全日志的事件时是否审核。 审核帐户登录事件确定是否用户登录到或注销另一台计算机(用于验证帐户)的每个实例。 审核帐户管理确定是否审核计算机上的每个帐户管理事件。如：创建、更改或删除用户帐户，重命名、禁用或启用用户帐户，设置或更改密码。提问：审核策略是否越多越好？2审核事件ID管理员可根据系统为不同类型事件定义的ID值，判断事件的类型和主要内容，筛选指定类型或ID的事件。1）帐户登录事件由“审核帐户登录事件”安全策略设置所生成的安全事件。序号事件ID描述类别14776域控制器试图验证账户凭证信息账户登录事件24777域控制器未能验证账户凭证信息账户登录事件34768要求有Kerberos验证票账户登录事件44769要求有Kerberos验证票账户登录事件54770Kerberos服务票被更新账户登录事件2）帐户管理事件由“审核帐户管理事件”安全策略设置所生成的安全事件。 3）目录服务访问事件由“审核目录服务访问事件”安全策略设置所生成的安全事件。4）登录事件ID由“审核登录事件”安全策略设置所生成的安全事件。5）对象访问事件由“审核对象访问事件”安全策略设置所生成的安全事件。6）策略更改事件由“审核策略更改事件”安全策略设置所生成的安全事件。7）特权使用事件由“审核特权使用事件”安全策略设置所生成的安全事件。8）审核系统事件由“审核审核系统事件”安全策略设置所生成的安全事件。9）详细跟踪事件由“审核详细跟踪事件”安全策略设置所生成的安全事件。见附件：项目34windows_2008事件ID.doc(三)系统性能监控1.系统监视器1)简单性能监视管理员要对CPU和内存的实时数据的掌握，其特点灵活易用，占用系统资源少。操作： “任务管理” “性能” 选项卡2)资源监视器是一个功能强大的工 具，用于了解进程和服务实时监视，并能分析没有响应的进程，确定哪些应用程序正在使用文件，以及控制进程和服务。操作： “任务管理” “性能” 选项卡 资源监视器“概述”选项 “CPU”选项：正在处理的进程、服务、关联的句柄和关联的模块等“磁盘”选项：监视硬盘的使用信息。“网络”选项：监视服务器的网络使用情况。“内存”选项：监视当前内存的具体使用情况。2.性能监视器是一种简单而功能强大的可视化工具，用于实时以及从日志文件中查看性能数据。可检查图表、直方图或报告中的性能数据。1)添加计算器处理器对象的%Processer Time计数器、内存对象的Pages Fault/Sec计算数、IIS计数器、Web服务计算器、FTP服务计数器。操作：开始 运行perfmon 监视工具 性能监视器 按钮 “添加计数器”窗口Processer并展开选择相应的计数器，如下图所示添加确定可能通过列表框或浏览按钮监视的本地计算机或网络中计算机。添加成功后，系统开始进行监视，“性能监视器”窗口下边出现刚添加的计数器。2)删除计数器计数器过多不仅会严重影响服务器运行速度，而且不容易分辩。3)系统监视器的属性设置操作：开始 运行perfmon 监视工具 性能监视器右击 属性常规设置：显示元素 用于设置“系统监视器”窗口中显示的元类类型。数据设置：主要设置不同计数器的显示状态，如颜色、宽度、样式图表设置：可设置“系统监视器”显示的“标题”和“重直轴”标注等信息。3.数据收集器(集)分类指Windows性能监视器中性能监视和报告的功能块，将多个数据收集组成可用于查看或记录性能的单个组件。创建数据收集器集后，然后执行下列操作：逐个记录，与其他数据收集器集组合而且并入到日志中，在性能监视器中查看，配置为达到阈值时生成警报，或者由其他非 Microsoft 应用程序使用。1) 数据收集器集用户定义、系统、事件跟踪会话、启动事件跟踪会话集2) 数据收集器性能计数器、事件跟踪数据、系统配置信息（注册表项值）三个收集器4.数据收集器(集)的创建1)创建数据收集器 在右窗中右击已创建的数据收集器集，如admin1006 新建 数据收集器 名称 选择数据收集程序 添加性能计数器 “Prcocess ”中C2 Time 下一步 完成2)手动创建数据收集器集 启动性能监视器：“开始搜索” perfmon 右击“性能监视器“显示窗格中的“用户定义” 新建 数据收集器集。 输入数据收集器集的名称，选中“手动创建” 下一步 创建数据日志中所有选项 下一步 添加性能计数器 “Prcocess ”中C1 Time 添加跟踪事件MMC 下一步 添加注册表 下一步“根目录” 键入目录名称“admin1006” 下一步“根目录”将包含由数据收集器集收集的数据 “下一步”定义运行数据收集器集的用户身份，或者单击“完成”保存当前设置并退出。 任务2 添加性能计数器要求：向创建好的收集器中添加性能计数器步骤： 启动性能监视器：“开始搜索”perfmon 选中收集器“admin1006” 双击右窗口中某性能计数器 添加 Processor C3 Time “文件”选项卡日志文件名：PC3 Time 格式 模式应用 查看收集器“admin1006”中性能计数器是否增加新的性能计数器。二课堂任务实践任务3管理事件日志要求：清除事件日志、日志文件的最大值1G、设置日志保留策略“日志满时将其存档”步骤： 清除事件日志事件查看器 在控制台树中，导航到要清除的事件日志“安全” 操作 “清除日志”。清除事件日志而不保存：单击“清除”。保存后再清除事件日志：单击“保存并清除”，保存文件的名称，然后单击“保存”。 日志文件的最大什1G事件查看器 在控制台树中，导航到要清除的事件日志“安全” 操作 属性 日志最大大小10240(KB) 确定。 设置日志保留策略“日志满时将其存档”事件查看器 在控制台树中，导航到要清除的事件日志“安全” 操作 属性“常规”选项卡的“启用日志记录” 选中“日志满时将其存档” 确定打开或关闭日志文件( 略)任务4Windows计划任务SERV-U服务自动停止要求：运用计划任务实现SERV-U服务自动停止步骤：1）打开事件查看器 “WINDOWS日志” “系统” SERV-U停止的日志，得到事件ID为7036。2）管理工具 任务计划程序 点击任务计划程序窗口右边的创建任务选项。 “常规”名称：启动SERV-U，描述：当查询到7036事件时自动运行。3）在触发器标签中点击新建按钮，以增加触发器。新建触发器对话框中设置如下图，开始任务：发生事件时；设置中选择“基本”，日志中选择“系统”；源中选择“服务控制管理器事件日志提供程序”；事件ID中输入7036（在日志中查询到的SERV-U事件的实际ID）。4）选择操作标签，点击新建按钮。在新建操作对话框中，操作：“启动程序”、设置中的程序和脚本中输入“net”，添加参数中输入“start serv-u”；然后确定。确定后如下图所示。再次点击确定完成添加计划任务，如下图所示。现手动停止SERV-U进行测试，当我们停止SERV-U时，会出现如下DOS窗口，