如何规划event log审计规则

　　不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要，但也是最乏味的一环。在审计过程中，与特定标准匹配的事件将记录到计算机的事件日志（event log）中，帮助你完成这个重要的管理任务。在本讲座中，我将讨论审计和事件日志，并且教你如何完成这个工作。　　　　审计设置中的选项　　　　审计控制和属性要通过windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域，你可以在计算机配置->Windows设置->安全设置->本地策略->审计策略目录下面的默认域策略中找到域审计策略。此外，你还可以通过控制面板中的管理工具模板查看这个本地安全策略。　　　　每个组策略对象的设置指出什么类型的事件和结果应该写入事件日志。下面是一些审计策略的选择:　　　　·审计账户登录事件:当域用户登录系统时写入日志。　　　　·审计账户管理:指出用户账户何时增加、修改和删除。　　　　·审计目录服务访问:审计与活动目录有关的查询和其它通信是何时实施的。　　　　·审计登录事件:等本地用户登录系统时写入日志。　　　　·审计访问对象:指出某些文件、文件夹和其它系统对象是什么时间被打开、关闭或者“接触的”。　　　　·审计策略变化:审计本地策略(诸如本地安全策略等)及其相关的对象是什么时间变化的。　　　　·审计权限使用:当用户行使赋予他们的权利时，将此事件写入日志。　　　　·审计进程跟踪:跟踪程序启动--程序何时关闭以及这个程序将启动的其它事件。　　　　·审计系统事件:审计用户何时重新启动计算机或者事件何时写入安全日志或者对系统安全产生了什么影响。　　　　你可以通过编辑系统访问控制列表(SACL)对任何特定的对象设置要审计的单个对象。这很像是授权，只不过它要向Windows指出事件日志应该写入什么类型的访问。你可以通过点击这个对象的属性表单中的安全标签的高级按钮访问系统访问控制列表查找对象。在审计标签中，你可以点击添加按钮增加一个对象的新的审计事件，或者点击查看/编辑按钮修改一个现有的审计事件。(注:你不能在一个FAT文件系统中编辑对象)　　　　建议要记录的项目　　　　首先，你需要了解几个事情。一，太多的审计会消耗大量的资源。用户每一次移动鼠标都会被记录下来(这太过分了。但是，记录一次并不过分)。二，过多的审计是无用的。一般来说，由于你不查看审计日志，审计就不会为你提供任何好处，你如果不能通过大量的审计事件提升安全，就是在浪费资源。你要了解要审计的东西并且有所选择。　　　　下面是一些你特别需要记录下来的事件:　　　　·登录和登出事件，由审计账户登录事件和审计登录设置进行跟踪，能够指出反复登录失败的事件并且指出一个特定的账户正在被一个攻击利用。　　　　·账户管理，由审计账户管理设置进行跟踪，能够指出曾经使用或者设法使用他们的用户权限和计算机管理员权限的那些用户。　　　　·启动和关闭事件，由审计系统事件设置跟踪，能够显示用户已经设法管理了一个系统以及在启动时什么服务没有正常启动。　　　　·策略改变，由审计策略改变设置进行跟踪，能够指出用户篡改安全设置。　　　　·权限使用事件，由审计权限使用设置进行跟踪，能够显示修改某些目标许可权限的企图。　　　　·配置事件日志策略。　　　　同审计策略相同，你在计算机设置->Windows设置->安全设置->本地策略->事件登录目录树中的默认域策略可以找到设置事件日志的策略。下面是事件日志策略的一些设置:　　　　·应用程序日志规模最大化:设置日志文件最大尺寸，允许在最老的日志被清除之前日志文件达到最大限度。　　　　·安全日志规模最大化:做法与上述项目相同，只不过是做安全日志。　　　　·系统日志规模最大化:与前两项的做法相同，只不过是做系统日志。　　　　·禁止游客访问应用程序日志:不允许以游客账户登录的用户访问应用程序日志。　　　　·禁止游客访问安全日志:不允许以游客账户登录的用户访问安全日志。　　　　·禁止游客访问系统日志:不允许以游客账户登录的用户访问系统日志。　　　　·保留应用程序日志:具体说明当应用程序日志文件达到最大尺寸时是否覆盖事件纪录或者存储日志。　　　　·保留安全日志:具体说明当安全日志文件达到最大尺寸时是否覆盖事件纪录或者存储日志。　　　　·保留系统日志:具体说明当系统日志文件达到最大尺寸时是否覆盖事件纪录或者存储日志。　　　　·应用程序日志保留方法:具体说明Windows是否应该覆盖第七天的旧的应用程序日志事件还是仅覆盖七天以上的日志;你还可以选择不覆盖文件并且手工清除日志。　　　　·安全日志保留方法:具体说明Windows是否应该覆盖第七天的旧的安全日志事件还是仅覆盖七天以上的日志;你还可以选择不覆盖文件并且手工清除日志。　　　　·系统日志保留方法:具体说明Windows是否应该覆盖第七天的旧的系统日志事件还是仅覆盖七天以上的日志;你还可以选择不覆盖文件并且手工清除日志。　　　　·当安全审计日志记满之后关闭计算机:关闭计算机直到管理员能够清除安全日志并且能够写入新的事件。　　　　要本地设置一台没有加入一个域的计算机的事件日志，先装载事件查看器操作台(这个程序在控制面板和管理工具中)，然后用鼠标右键点击左边窗口中的每一项日志。你可以在这个窗口中设置日志文件的大小选项，包括最大文件尺寸以及达到这个极限之后Windows应该采取的措施。
[1] [2]  

（出处：http://www.sheup.com）

 [1] [2]