上篇文章中,我们已经知道了审计过程中遇到的各种事件,那么解决方案是什么呢?
答案是使用第三方产品来审计这项活动。比如QuestSoftware公司以及Symantec公司都有做这项工作的工具。微软是否会在新版的Windows中改变这个情况还不得而知。
使用事件查看器
在解决这个问题的过程中,WindowsServer2008中事件查看器功能起了很关键的作用。安全日志以其文件大小而闻名(文件非常大)---尤其是在审计的时候。当开启了GPO审计和对象级别的审计后,每个单一的属性变化系统都会记录20到30个事件。我可以使用事件查看器中的高级过滤功能建立几个过滤器,而且当有策略改变或者对象改变发生的时候只要刷新他们就可以了,这样我就可以只查看重要的事件。
如图5所示,过滤器建立在自定义视图文件夹下。在这个例子中,我能够分清楚事件级别,一个或者更多的ID数量、一个或者更多的事件日志(请注意,我在这里只需要安全日志,但是如果我想要其他日志的话也可以添加)等。我还指定了一个“持续12小时”的时间限定来进一步限制过滤功能,而且我用本地名字把它存起来。举个例子,如果我以后决定想要添加或者删除事件ID,那么我可以编辑该过滤器,保存修改,然后刷新显示,我就会得到一个新的事件数据集合。
图5.自定义视图文件夹
把全部的安全日志进行分类需要非常长的时间;自定义视图过滤器只需要一两秒的时间就可以完成这项工作。当然这里也存在危险,如果你没有把必要的事件包含在过滤器中,那么他们也不会出现在过滤结果中。在我的例子中,我在最后一小时的时候开始使用过滤器限制事件,然后找到与我的审计有关的事件并把他们添加到过滤器中事件ID里。从图5中你可以看到,我定义了许多个不同目的自定义视图,他们也是可以使用的。
我使用的另外一个功能是把细节复制成文本。过去如果想要得到事件ID4738的详细信息,我要进行多次截屏才能完成,因为事件的详细信息在一页内显示不完。在WindowsServer2008事件查看器中,只需要右击某个事件,选择复制>复制成文本选项,然后就可以把信息粘贴在类似于Notepad的记事本中了。这样就能够以文档的方式显示所有的信息了。
现在假设你想检查一段时间内所有的事件---比如说从早上8点到下午5点---并且要把这些事件发送给一个技术支持工程师或者说想要一个比较小的文件。你只要在事件查看器中选择想要的事件,右击,然后选择保存所选事件选项并且指定保存路径(图6)就可以了。这样做可以生成一个比较小的事件日志文件,让检测核查工作更加简单,文件也容易转移。
图6.保存所选事件
最后,图7显示了保存日志功能。在旧版本的文件查看器中,如果你加载了保存日志,他们将会在事件查看器关闭之后消失。但是现在他们会一直都会存在,直到你删除他们。此外,现在的事件查看器版本中他们有自己的名字,而在旧版的事件查看器中他们被统称为“保存的应用程序日志”。WindowsServer2008中的事件查看器还可以分辨出事件日志是哪种类型(系统、应用程序等等),所以你不必指定日志类型,使用起来更加方便。
图7.保存日志功能
那么让我们快速总结一下本文所描述的内容。虽然WindowsServer2008R2中的属性审计是一个强大的功能,但是它缺少核查审计计划改变的能力,这样的后果就是有些靠不住的域管理员可能会做出破坏性的改变。当你没有办法来检查这种事情的时候,分辨一个管理员是否值得信任非常困难。虽然有些第三方软件对此会有所帮助,但是这一点毕竟是Windows审计中的弱点。
WindowsServer2008中EventViewer的新功能具有极大的灵活性以及强大的过滤功能,这是旧版本的软件所不具备的。它可以产生非常好的数据报告,在系统监测过程中提供很大的帮助。它还可以协助管理员快速识别关键事件,不用再通过辛苦的查看大量日志才找到那些与问题有关的事件。
总结:
希望本系列教大家利用WindowsServer2008中的事件查看器来审计AD管理员的方法能够对读者有所帮助,更多有关操作系统的知识还有待于读者去探索和学习。
【编辑推荐】