網(wǎng)絡(luò)管理中的事件審核

審核某個(gè)計(jì)算機(jī)用戶或者操作系統(tǒng)的事件是日常網(wǎng)絡(luò)管理工作的一個(gè)重要部分。網(wǎng)絡(luò)管理員通過選擇需要審核的對(duì)象，然后在事件日志中就可以跟蹤用戶的使用情況、安全問題和網(wǎng)絡(luò)狀況。
    確定審核事件的策略
    但一定要注意不要妄圖審查計(jì)算機(jī)上所有的事件，因?yàn)橐獙彶榈氖录蕉?，日志就越大。而查看龐大的事件日志本身就是一件非常痛苦的事情，?dǎo)致的結(jié)局甚至可能是不會(huì)再有人愿意看它了。
    因此，在考慮審核事件時(shí)的策略非常重要，基本原則是應(yīng)在不加重管理員負(fù)擔(dān)的前提下適當(dāng)?shù)谋Ｗo(hù)網(wǎng)絡(luò)。另外需要注意的是，每增加一個(gè)審核事件，服務(wù)器就要增加一些執(zhí)行上的消耗。
    每次審核事件都要報(bào)告一些事情，但是這些有時(shí)并不是所需要的。如審查成功的登錄和注銷，可能會(huì)發(fā)現(xiàn)盜用密碼，但它也會(huì)產(chǎn)生了很長只是記錄正確授權(quán)用戶正常登錄和注銷的事件。因此如果要審核是否有人進(jìn)行隨機(jī)測試*密碼，使用審核失敗登錄就能很清楚的得到這些事件的記錄。
    啟動(dòng)審核策略設(shè)置
    確定了審核事件的策略之后，也就是明確了要啟動(dòng)的審核策略設(shè)置，就可以通過“管理工具”啟動(dòng)“Active Directory用戶和計(jì)算機(jī)”控制臺(tái)。然后用鼠標(biāo)右鍵單擊控制臺(tái)中的域名，在彈出菜單中單擊“屬性”命令。
    隨后在彈出的對(duì)話框中選擇“組策略”選項(xiàng)卡，然后單擊“編輯”按鈕。在組策略控制臺(tái)左邊窗格上，依次單擊打開“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點(diǎn)，就能看到審核策略的內(nèi)容，如圖1所示。
    如果想要打開審核的事件類型，可以雙擊打開該策略，然后在彈出的對(duì)話框中選擇相應(yīng)的復(fù)選框，設(shè)置是否開啟審核，是審核成功還是失敗的事件等。在確定開啟該審核項(xiàng)目時(shí)，需要確定其是自己需要的。例如，“審核對(duì)象訪問”或“審核目錄服務(wù)訪問”以后，就可以設(shè)置對(duì)某些文件或?qū)ο蟮脑L問等事件的審核。
    為對(duì)象設(shè)置審核
    當(dāng)開啟了“審核對(duì)象訪問”后，我們可以選中某個(gè)需要審查的對(duì)象，然后打開其屬性對(duì)話框中的“安全”選項(xiàng)卡。隨后單擊“高級(jí)”按鈕，然后單擊打開“審核”選項(xiàng)卡，如圖2所示。
    隨后單擊其中的“添加”按鈕，為這些用戶的訪問創(chuàng)建審核，選擇好用戶后即彈出如圖3所示的訪問控制設(shè)置對(duì)話框。通過選擇審核的訪問類型以后，單擊“確定”按鈕即完成設(shè)置的過程。
    除非是非常重要的東西才需要進(jìn)行這樣的審核，因?yàn)檫@樣很可能在選擇審核設(shè)置時(shí)把情況變得更加復(fù)雜和困難。事件日志中那么多的條目，往往會(huì)把真正重要的問題掩藏起來，甚至丟失了。因此，在決定審核哪些事件的時(shí)候一定要仔細(xì)，審核的對(duì)象要盡量少，而在確實(shí)有了必要的要求后再加入審核。
    瀏覽事件日志
    事件查看器是用來專門查看事件日志的工具，通過它可以查看操作系統(tǒng)組件、服務(wù)及應(yīng)用程序等所發(fā)生的事件信息。當(dāng)有事件發(fā)生時(shí)，用戶就可以打開事件查看器來查看被記錄下來的事件信息。這樣可以使系統(tǒng)管理員由這些記錄的信息得知系統(tǒng)的狀態(tài)、錯(cuò)誤發(fā)生的原因、用戶的使用狀況等，以便及時(shí)地發(fā)現(xiàn)和解決問題。
    但在查看“事件日志”時(shí)必須要很有規(guī)律性，這樣才能看得出來事件是否產(chǎn)生了變化。要瀏覽安全日志，可以通過“管理工具”打開“事件查看器”，然后選擇“安全日志”。