第9章安全审计与评估.pptVIP

安全审计概述 审计就是记录用户使用计算机网络系统进行所有活动的过程。记录的信息通常是存放在日志文件中的。 审计是事故处理重要依据，为网络犯罪行为和泄密行为提供证据。 日志介绍 不易读懂 数据量大 不易获取 关联困难 Windows 系统日志管理 日志位置 %systemroot%\system32\config 默认 安全日志：SecEvent.EVT 系统日志：SysEvent.EVT 应用程序：AppEvent.EVT 安装特殊应用程序也会产生日志：如DNS、AD等 事件查看器2-1 事件查看器用来查看计算机中产生的日志 打开“事件查看器”的方法： %SystemRoot%\system32\eventvwr.msc /s 3种类别的日志 应用程序日志 由应用程序或系统程序记录的事件 安全日志 记录诸如有效和无效的登录尝试等事件，以及记录与资源使用相关的事件 系统日志 Windows系统组件记录的事件 事件查看器2-2 错误：重要的问题，如数据丢失或功能丧失 警告：虽然不一定很重要，但是将来有可能导致问题的事件 信息：描述了应用程序、驱动程序或服务的成功操作的事件 安全性日志 审核成功：审核成功的行为，如登录或者访问资源成功 审核失败：审核失败的行为，如登录或者访问资源失败 事件查看器的使用 清除所有事件 保存日志文件 查看另一台计算机的日志 筛选日志:例如右击【系统】