系统事件日志及警报管理Word格式文档下载.docx
《系统事件日志及警报管理Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《系统事件日志及警报管理Word格式文档下载.docx(15页珍藏版)》请在冰点文库上搜索。
2)事件的类型
错误:
指明出现了问题,可能会影响触发事件的应用程序或组件外部的功能。
警告:
提明出现的问题可能会影响服务器或导致更严重的问题。
信息:
指明应用程序或组件发生了变化更改。
关键/SuccessAudit:
指明出现故障导致触发事件的应用程序或组件可能无法自动恢复。
审核失败:
指明用户权限练习失败。
3)事件日志分类
◆服务器角色
◆Windows系统日志
◆应用程序和服务日志
主要来自单个应用程序或组件的事件。
2.查看事件信息
事件日志记发事件发生的时间、事件来源、用户帐户、操作代码及了解详细相信息的超级链接。
操作:
事件查看器→Windows日志→安全→双击任一个日志,即可查看相关信息
3.将任务附加到日志需要网上查询进一步理解
利用通知、提醒功能,将计划任务或特殊任务附加到指定类型的事件,系统即可自动以某种方式通知用户:
发送E-mail邮件、弹出提示信息、开启程序等。
1)设置任务计划程序
事件查看器→Windows日志→右击Setup→将任务附加到日志→创建基本任务→设置任务名称“Setup”和描述信息“安装程序后向管理员发送E-Mail。
”→下一步→下一步→选择“发送电子邮件”→下一步→输入发送及接收电子邮件地址等信息→下一步。
2)修改任务计划程序
常用工具→任务计划程序→事件查看器任务→选择要修改的任务
4.日志的导出与导入
安装Windows系统和网络服务时,系统已经选择了安全可靠的日志保存目录。
任务1日志的备份
要求:
导出和导入“安全”事件的日志
步骤:
1常用工具→事件查看器→Windows日志→右击“安全”
2选择“将事件另存为”→文件名:
安全事件1010→保存
3选择“显示这些语言的消息”以及“显示所有可用的语言”,选择相匹配的语言类型→确定
否则导出日志只能在本地计算机或本地计算机语言类型相同的其他计算机上打开。
4导入:
在其他计算机“事件查看器”窗口中右击导航栏中的任意项目→打开保存的文件→选择日志文件“安全事件1010”→确定→选中“保存的日志”及所有用户→即完成日志的导入
5点击导航栏中“保存的日志”→“安全事件1010”→选择右窗口的事件
5.订阅事件
基于WindowsServer2008R2系统的事件查看器可订阅来自其他Windows系统的事件日志,以管理员可轻松做到集中分析和监控计算机的状态。
1)环境
在源计算机上运行“Windows远程管理WinRM”和“Windows事件收集器Wecsvc”。
2)配置计算机转发和接收事件
3)创建订阅
(二)日志的安全性
1.启用审核策略
◆审核策略更改
确定是否审核用户权限分配策略、审核策略或信任策略的每一个更改事件。
默认值:
:
在域控制器上为“成功”,在成员服务器上为“无审核”。
◆审核登录事件
确定是否审核用户登录或注销、建立与该计算机的网络连接的每个实例。
成功。
◆审核对象访问
确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。
◆审核进程跟踪
确定是否审核事件的详细跟踪信息,例如程序激活、进程退出、句柄复制以及间接对象访问。
◆审核目录服务访问
确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。
◆审核权限使用
确定是否审核执行用户权限的用户的每个实例。
◆审核系统事件
确定在用户重新启动或关闭计算机时或者在发生影响系统安全或安全日志的事件时是否审核。
◆审核帐户登录事件
确定是否用户登录到或注销另一台计算机(用于验证帐户)的每个实例。
◆审核帐户管理
确定是否审核计算机上的每个帐户管理事件。
如:
创建、更改或删除用户帐户,重命名、禁用或启用用户帐户,设置或更改密码。
提问:
审核策略是否越多越好?
2.审核事件ID
管理员可根据系统为不同类型事件定义的ID值,判断事件的类型和主要内容,筛选指定类型或ID的事件。
1)帐户登录事件
由“审核帐户登录事件”安全策略设置所生成的安全事件。
序号
事件ID
描述
类别
1
4776
域控制器试图验证账户凭证信息
账户登录事件
2
4777
域控制器未能验证账户凭证信息
3
4768
要求有Kerberos验证票
4
4769
5
4770
Kerberos服务票被更新
2)帐户管理事件
由“审核帐户管理事件”安全策略设置所生成的安全事件。
3)目录服务访问事件
由“审核目录服务访问事件”安全策略设置所生成的安全事件。
4)登录事件ID
由“审核登录事件”安全策略设置所生成的安全事件。
5)对象访问事件
由“审核对象访问事件”安全策略设置所生成的安全事件。
6)策略更改事件
由“审核策略更改事件”安全策略设置所生成的安全事件。
7)特权使用事件
由“审核特权使用事件”安全策略设置所生成的安全事件。
8)审核系统事件
由“审核审核系统事件”安全策略设置所生成的安全事件。
9)详细跟踪事件
由“审核详细跟踪事件”安全策略设置所生成的安全事件。
见附件:
项目34 windows_2008事件ID.doc
(三)系统性能监控
1.系统监视器
1)简单性能监视
管理员要对CPU和内存的实时数据的掌握,其特点灵活易用,占用系统资源少。
“任务管理”→“性能”选项卡
2)资源监视器
是一个功能强大的工具,用于了解进程和服务实时监视,并能分析没有响应的进程,确定哪些应用程序正在使用文件,以及控制进程和服务。
“任务管理”→“性能”选项卡→资源监视器→“概述”选项
“CPU”选项:
正在处理的进程、服务、关联的句柄和关联的模块等
“磁盘”选项:
监视硬盘的使用信息。
“网络”选项:
监视服务器的网络使用情况。
“内存”选项:
监视当前内存的具体使用情况。
2.性能监视器
是一种简单而功能强大的可视化工具,用于实时以及从日志文件中查看性能数据。
可检查图表、直方图或报告中的性能数据。
1)添加计算器
处理器对象的%ProcesserTime计数器、内存对象的PagesFault/Sec计算数、IIS计数器、Web服务计算器、FTP服务计数器。
开始→运行perfmon→监视工具→性能监视器→
按钮→“添加计数器”窗口→Processer并展开→选择相应的计数器,如下图所示→添加→确定
可能通过列表框或浏览按钮监视的本地计算机或网络中计算机。
添加成功后,系统开始进行监视,“性能监视器”窗口下边出现刚添加的计数器。
2)删除计数器
计数器过多不仅会严重影响服务器运行速度,而且不容易分辩。
3)系统监视器的属性设置
开始→运行perfmon→监视工具→性能监视器右击→属性
常规设置:
显示元素用于设置“系统监视器”窗口中显示的元类类型。
数据设置:
主要设置不同计数器的显示状态,如颜色、宽度、样式
图表设置:
可设置“系统监视器”显示的“标题”和“重直轴”标注等信息。
3.数据收集器(集)分类
指Windows性能监视器中性能监视和报告的功能块,将多个数据收集组成可用于查看或记录性能的单个组件。
创建数据收集器集后,然后执行下列操作:
逐个记录,与其他数据收集器集组合而且并入到日志中,在性能监视器中查看,配置为达到阈值时生成警报,或者由其他非Microsoft应用程序使用。
1)数据收集器集
用户定义、系统、事件跟踪会话、启动事件跟踪会话集
2)数据收集器
性能计数器、事件跟踪数据、系统配置信息(注册表项值)三个收集器
4.数据收集器(集)的创建
1)创建数据收集器
◆在右窗中右击已创建的数据收集器集,如admin1006→新建→数据收集器
◆名称→选择数据收集程序→添加性能计数器“Prcocess”中C2Time→下一步→完成
2)手动创建数据收集器集
◆启动性能监视器:
“开始搜索”perfmon
◆右击“性能监视器“显示窗格中的“用户定义”→新建→数据收集器集。
◆输入数据收集器集的名称,选中“手动创建”→下一步→创建数据日志中所有选项→下一步
◆添加性能计数器“Prcocess”中C1Time→添加跟踪事件MMC→下一步→添加注册表→下一步
◆“根目录”→键入目录名称“admin1006”→下一步
“根目录”将包含由数据收集器集收集的数据
“下一步”定义运行数据收集器集的用户身份,或者单击“完成”保存当前设置并退出。
任务2添加性能计数器
向创建好的收集器中添加性能计数器
①启动性能监视器:
“开始搜索”perfmon
②选中收集器“admin1006”→双击右窗口中某性能计数器→添加→ProcessorC3Time→“文件”选项卡→日志文件名:
PC3Time→格式→模式→应用
③查看收集器“admin1006”中性能计数器是否增加新的性能计数器。
二.课堂任务实践
任务3 管理事件日志
清除事件日志、日志文件的最大值1G、设置日志保留策略“日志满时将其存档”
①清除事件日志
事件查看器→在控制台树中,导航到要清除的事件日志“安全”→操作→“清除日志”。
清除事件日志而不保存:
单击“清除”。
保存后再清除事件日志:
单击“保存并清除”,保存文件的名称,然后单击“保存”。
②日志文件的最大什1G
事件查看器→在控制台树中,导航到要清除的事件日志“安全”→操作→属性→日志最大大小10240(KB)→确定。
③设置日志保留策略“日志满时将其存档”
事件查看器→在控制台树中,导航到要清除的事件日志“安全”→操作→属性→“常规”选项卡的“启用日志记录”→选中“日志满时将其存档”→确定
④ 打开或关闭日志文件(略)
任务4 Windows计划任务SERV-U服务自动停止
运用计划任务实现SERV-U服务自动停止
1)打开事件查看器→“WINDOWS日志”→“系统”→SERV-U停止的日志,得到事件ID为7036。
2)管理工具→任务计划程序→点击任务计划程序窗口右边的创建任务选项。
“常规”名称:
启动SERV-U,描述:
当查询到7036事件时自动运行。
3)在触发器标签中点击新建按钮,以增加触发器。
新建触发器对话框中设置如下图,开始任务:
发生事件时;
设置中选择“基本”,日志中选择“系统”;
源中选择“服务控制管理器事件日志提供程序”;
事件ID中输入7036(在日志中查询到的SERV-U事件的实际ID)。
4)选择操作标签,点击新建按钮。
在新建操作对话框中,操作:
“启动程序”、设置中的程序和脚本中输入“net”,添加参数中输入“startserv-u”;
然后确定。
确定后如下图所示。
再次点击确定完成添加计划任务,如下图所示。
现手动停止SERV-U进行测试,当我们停止SERV-U时,会出现如下DOS窗口,显示“Serv-UFileServer
服务正在启动”,同时,SERV-U也已经处于已连接状态。
若不想看到上面的DOS窗口,请修改我们刚刚建立的“启动SERV-U”的常规属性。
选择单选钮:
不管用户是否登录都要运行。
点确定后输入密码即可。
三.课堂小结
1.本课的纪律评价。
2.实习操作情况分析及出现的常用操作强调。
3.提出要求:
要积极参与,仔细理解,增加主动性,才能有所收获。
四.作业
完成对卫士360防火墙的设置(内容课堂实践操作内容相似)
检查:
下次课对本次课的内容进行评价或提问,效果好的在期末成绩上直接2-3分