实用网络操作系统 教学课件 作者 史宝会 1第09章.pptVIP

第 9 章 审核资源的使用 9.1 事 件 查 看 器 9.2 审核资源的使用 9.1 事 件 查 看 器 事件查看器允许用户监视用户系统事件。它保存用户计算机上的程序、安全和系统事件的日志。 事件日志是由事件头、事件描述（基于事件类型）和可选的附加数据组成。许多安全日志记录由头和描述组成。 Windows 2000操作系统的事件日志文件主要分为以下4大类。 一、系统日志 二、应用程序日志? 三、安全日志 四、目录服务日志 9.1.1 查看事件记录 一、打开事件查看器方式 二、事件查看器内容 事件查看器将事件从每个日志中单独列出，每行显示单个事件信息。每个独立事件记录中的数据包括以下内容。 （1）日期与时间：事件被记录的日期与时间。 （2）来源：记录此事件的程序名称。 （3）类型：事件所属的类型，包括信息、警告或错误等。 （4）分类：产生事件的程序会将事件信息分类。 （5）事件：每个事件都被赋予一个惟一的标号，即事件ID。 （6）用户：事件发生时，哪个用户正在使用此计算机，或事件由哪个用户制造出来的。 （7）计算机：事件发生所在的计算机名称。 三、事件查看器显示的事件类型 （1）错误 （2）警告 （3）信息 （4）成功审核 （5）失败审核 9.1.2 设置日志文件的大小 用户可以针对每个日志文件设置其大小。在事件查看器中，鼠标右键单击该日志文件名，在弹出的快捷菜单中选择“应用日志程序属性”，即打开如图9-3所示的“应用程序日志属性”对话框。“常规”选项卡中各项目意义如下。 “常规”选项卡中各项目如下。 （1）最大日志文件大小 （2）清除日志 （3）当达到最大的日志尺寸时 （4）默认的日志策略为 ① 按需要改写事件 ② 改写久于 ③ 不改写事件 9.1.3 筛选事件日志中的事件 一、事件搜索 1．所有事件搜索 2．特定事件搜索 二、事件筛选 如果系统中的事件过多，将会很难找到真正导致系统问题的事件。这时，可以使用事件“筛选”功能找到想要的日志。 三、显示事件信息 9.1.4 存储日志文件 当存储事件日志时，可用以下3种文件格式之一来保存日志。 （1）日志文件格式（*.evt） （2）纯文本文件格式（*.txt） （3）逗号分隔的文本文件格式（*.csv） 9.2 审核资源的使用 要审核用户访问资源的情况，需经过以下两个步骤。 （1）设置审核策略 （2）设置要审核的资源 9.2.1 审核策略的设置 审核策略的设置是通过组策略或本地安全策略进行的。 一、审核策略设置的途径 1．域控制器 2．成员服务器、独立服务器 3．Windows 2000 Professional 二、在整个域上设置审核策略 1．审核账户登录事件 2．审核账户管理 3．审核目录服务访问 4．审核登录事件 5．审核对象访问 6．审核策略更改 7．审核特权使用 8．审核过程跟踪 9．审核系统事件 三、测试与查看审核策略的设置 9.2.2 审核文件与文件夹的访问操作 审核用户是否访问了某些文件或文件夹资源，并进行了哪些操作，需要先设置审核策略内的“审核对象访问”。 一、设置对文件或文件夹的审核策略 二、设置被审核的资源与用户 三、测试与查看审核设置 9.2.3 审核打印机的访问操作 审核打印机意味着跟踪打印机的使用。可能是为某个特别的打印机指定审核哪个工作组或用户的哪些操作，包括审核成功和失败的操作。Windows 2000操作系统存储审核文件时产生的数据，可用事件浏览器查看和用不同的格式打印。 审核打印机的访问操作与审核文件夹的访问操作很相似。首先设置审核策略内的“审核对象访问”策略，然后对要审核的打印机，设置要审核的用户或组账户。 9.2.4 审核访问活动目录对象的操作 活动目录将目录服务中的文件记录到了事件查看器中。用户可以使用日志来监测活动目录的活动级别或者调查故障。在默认情况下，活动目录仅记录下严重错误事件。 一、设置“审核目录服务访问”策略 二、测试与查看审核设置 * 图9-3 “应用程序日志属性”对话框