網(wǎng)絡(luò)管理中的事件審核

審核某個計算機用戶或者操作系統(tǒng)的事件是日常網(wǎng)絡(luò)管理工作的一個重要部分。網(wǎng)絡(luò)管理員通過選擇需要審核的對象，然后在事件日志中就可以跟蹤用戶的使用情況、安全問題和網(wǎng)絡(luò)狀況。
    確定審核事件的策略
    但一定要注意不要妄圖審查計算機上所有的事件，因為要審查的事件越多，日志就越大。而查看龐大的事件日志本身就是一件非常痛苦的事情，導(dǎo)致的結(jié)局甚至可能是不會再有人愿意看它了。
    因此，在考慮審核事件時的策略非常重要，基本原則是應(yīng)在不加重管理員負擔(dān)的前提下適當(dāng)?shù)谋Ｗo網(wǎng)絡(luò)。另外需要注意的是，每增加一個審核事件，服務(wù)器就要增加一些執(zhí)行上的消耗。
    每次審核事件都要報告一些事情，但是這些有時并不是所需要的。如審查成功的登錄和注銷，可能會發(fā)現(xiàn)盜用密碼，但它也會產(chǎn)生了很長只是記錄正確授權(quán)用戶正常登錄和注銷的事件。因此如果要審核是否有人進行隨機測試*密碼，使用審核失敗登錄就能很清楚的得到這些事件的記錄。
    啟動審核策略設(shè)置
    確定了審核事件的策略之后，也就是明確了要啟動的審核策略設(shè)置，就可以通過“管理工具”啟動“Active Directory用戶和計算機”控制臺。然后用鼠標(biāo)右鍵單擊控制臺中的域名，在彈出菜單中單擊“屬性”命令。
    隨后在彈出的對話框中選擇“組策略”選項卡，然后單擊“編輯”按鈕。在組策略控制臺左邊窗格上，依次單擊打開“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點，就能看到審核策略的內(nèi)容，如圖1所示。
    如果想要打開審核的事件類型，可以雙擊打開該策略，然后在彈出的對話框中選擇相應(yīng)的復(fù)選框，設(shè)置是否開啟審核，是審核成功還是失敗的事件等。在確定開啟該審核項目時，需要確定其是自己需要的。例如，“審核對象訪問”或“審核目錄服務(wù)訪問”以后，就可以設(shè)置對某些文件或?qū)ο蟮脑L問等事件的審核。
    為對象設(shè)置審核
    當(dāng)開啟了“審核對象訪問”后，我們可以選中某個需要審查的對象，然后打開其屬性對話框中的“安全”選項卡。隨后單擊“高級”按鈕，然后單擊打開“審核”選項卡，如圖2所示。
    隨后單擊其中的“添加”按鈕，為這些用戶的訪問創(chuàng)建審核，選擇好用戶后即彈出如圖3所示的訪問控制設(shè)置對話框。通過選擇審核的訪問類型以后，單擊“確定”按鈕即完成設(shè)置的過程。
    除非是非常重要的東西才需要進行這樣的審核，因為這樣很可能在選擇審核設(shè)置時把情況變得更加復(fù)雜和困難。事件日志中那么多的條目，往往會把真正重要的問題掩藏起來，甚至丟失了。因此，在決定審核哪些事件的時候一定要仔細，審核的對象要盡量少，而在確實有了必要的要求后再加入審核。
    瀏覽事件日志
    事件查看器是用來專門查看事件日志的工具，通過它可以查看操作系統(tǒng)組件、服務(wù)及應(yīng)用程序等所發(fā)生的事件信息。當(dāng)有事件發(fā)生時，用戶就可以打開事件查看器來查看被記錄下來的事件信息。這樣可以使系統(tǒng)管理員由這些記錄的信息得知系統(tǒng)的狀態(tài)、錯誤發(fā)生的原因、用戶的使用狀況等，以便及時地發(fā)現(xiàn)和解決問題。
    但在查看“事件日志”時必須要很有規(guī)律性，這樣才能看得出來事件是否產(chǎn)生了變化。要瀏覽安全日志，可以通過“管理工具”打開“事件查看器”，然后選擇“安全日志”。