发布时间 : 星期四 文章维护服务器安全维护技巧之日志分析更新完毕开始阅读536f74bc65ce050876321324
维护服务器安全维护技巧之日志分析
事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定的借鉴和参考。
(一)事件查看器相关知识 1.事件查看器
事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器:
(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
(2)在“运行”对话框中手工键入“%SystemRoot%\\system32\\eventvwr.msc /s”打开事件查看器窗口。www.qqb4.com
(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。
2.事件查看器中记录的日志类型
在事件查看器中一共记录三种类型的日志,即:www.hao3t.com (1)应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
(2)安全性日志
记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。www.jz265.net
(3)系统日志
包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:
(1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
(2)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
(3) 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
(4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
(5)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
(二)维护服务器安全实例
1.打开并查看事件查看器中的三类日志
在“运行”中输入“eventvwr.msc”直接打开事件查看器,在该窗口中单击“系统”,如图1所示,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。
在高度安全环境中,Windows 安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持,但是更易被篡改。
将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求:
必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。 在 Windows Vista 和 Windows Server 2008 中,使用审核策略工具 (auditpol.exe)。审核策略程序公开了审核对象访问类别中的多种子策略设置。若要允许 SQL Server 审核对象访问,请配置应用程序生成的设置。
对于 Windows 的早期版本,审核策略工具不可用。请改用安全策略管理单元 (secpol.msc)。如果可用,优先采用审核策略,因为可以配置更精细的设置。
SQL Server 服务正在其下运行的帐户必须拥有生成安全审核权限才能写入 Windows 安全日志。默认情况下,LOCAL SERVICE 和 NETWORK SERVICE 帐户拥有此权限。如果 SQL Server 正在其中一个帐户下运行,则不需要此步骤。
将 Windows 审核策略配置为写入 Windows 安全日志时,可能会影响 SQL Server 审核,此时若该审核策略配置不正确,就可能导致事件丢失。通常,将 Windows 安全日志设置为覆盖较旧的事件。这样可保留最新的事件。但如果 Windows 安全日志未设置为覆盖较旧的事件,则当安全日志已满时,系统将发出 Windows 事件 1104(日志已满)。此时: 不再记录其他安全事件
SQL Server 将无法检测系统是否能够在安全日志中记录事件,从而导致可能丢失审核事件 Box 管理员修复安全日志后,日志记录行为将恢复正常。
SQL Server 计算机的管理员应了解安全日志的本地设置可能会被域策略覆盖。在这种情况下,域策略可能覆盖子类别设置 (auditpol /get /subcategory:\generated\。这可能会影响 SQL Server 在无法检测 SQL Server 尝试审核的事件是否将不被记录的情况下记录事件的能力。
您必须是 Windows 管理员,才能配置这些设置。在 Windows 中使用 auditpol 配置审核对象访问设置,如果操作系统是 Windows Vista 或 Windows Server 2008,则利用管理权限打开命令提示符。在“开始”菜单中,依次指向“所有程序”、“附件”,右键单击“命令提示符”,然后单击“以管理员身份运行”。
在“用户帐户控制”对话框打开时,单击“继续”。 执行以下语句以从 SQL Server 启用审核。
auditpol /set /subcategory:\
关闭命令提示符窗口。此设置将立即生效。在 Windows 中使用 secpol 配置审核对象访问设置,如果操作系统的版本早于 Windows Vista 或 Windows Server 2008,则在“开始”菜单上单击“运行”。键入 secpol.msc,然后单击“确定”。在显示“用户访问控制”对话框时,单击“继续”。在“本地安全策略”工具中,依次展开“安全设置”、“本地策略”,然后单击“审核策略”。在结果窗格中,双击“审核对象访问”。在“本地安全设置”选项卡上的“审核这些操作”区域中,选择“成功”和“失败”。单击“确定”。 关闭安全策略工具。
此设置将立即生效。使用 secpol 将生成安全审核权限授予帐户,对于任何 Windows 操作系统,在“开始”菜单上单击“运行”。键入 secpol.msc,然后单击“确定”。在显示“用户访问控制”对话框时,单击“继续”。在“本地安全策略”工具中,依次展开“安全设置”、“本地策略”,然后单击“用户权限分配”。在结果窗格中,双击“生成安全审核”。在“本地安全设置”选项卡上,单击“添加用户或组”。在“选择用户、计算机或组”对话框中,键入用户帐户的名称,例如 domain1\%user1,然后单击“确定”,或单击“高级”并搜索帐户。 单击“确定”。 关闭安全策略工具。重新启动 SQL Server 后,此设置才会生效。