維護服務器安全維護技巧之日志分析

class="area">

 事件查看器相當於操作系統的保健醫生，一些“頑疾”的蛛絲馬跡都會在事件查看器中呈現，一個合格的系統管理員和安全維護人員會定期查看應用程序、安全性和系統日志，查看是否存在非法登錄、系統是否非正常關機、程序執行錯誤等信息，通過查看事件屬性來判定錯誤產生的來源和解決方法，使操作系統和應用程序正常工作。本文介紹了事件查看器的一些相關知識，最後給出了一個安全維護實例，對安全維護人員維護系統有一定的借鑒和參考。

(一)事件查看器相關知識
1.事件查看器
事件查看器是 Microsoft Windows 操作系統工具，事件查看器相當於一本厚厚的系統日志，可以查看關於硬件、軟件和系統問題的信息，也可以監視Windows 操作系統中的安全事件。有三種方式來打開事件查看器：
(1)單擊“開始”-“設置”-“控制面板”-“管理工具”-“事件查看器”，開事件查看器窗口
(2)在“運行”對話框中手工鍵入“%SystemRoot%\system32\eventvwr.msc /s”打開事件查看器窗口。
(3)在運行中直接輸入“eventvwr”或者“eventvwr.msc”直接打開事件查看器。

2.事件查看器中記錄的日志類型
在事件查看器中一共記錄三種類型的日志，即：
(1)應用程序日志
包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那麼我們可以從程序事件日志中找到相應的記錄，也許會有助於你解決問題。
(2)安全性日志
記錄了諸如有效和無效的登錄嘗試等事件，以及與資源使用相關的事件，例如創建、打開或刪除文件或其他對象，系統管理員可以指定在安全性日志中記錄什麼事件。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿後使系統停止響應。www.jz265.net
(3)系統日志
包含Windows XP的系統組件記錄的事件，例如在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中，默認情況下Windows會將系統事件記錄到系統日志之中。 如果計算機被配置為域控制器，那麼還將包括目錄服務日志、文件復制服務日志;如果機子被配置為域名系統(DNS)服務器，那麼還將記錄DNS服務器日志。當啟動Windows時，“事件日志”服務(EventLog)會自動啟動，所有用戶都可以查看應用程序和系統日志，但只有管理員才能訪問安全性日志。

在事件查看器中主要記錄五種事件，事件查看器屏幕左側的圖標描述了 Windows 操作系統對事件的分類。事件查看器顯示如下類型的事件：
(1)錯誤：重大問題，例如數據丟失或功能損失。例如，如果服務在啟動期間無法加載，便會記錄一個錯誤。
(2)警告：不一定重要的事件也能指出潛在的問題。例如，如果磁盤空間低，便會記錄一個警告。
(3) 信息：描述應用程序、驅動程序或服務是否操作成功的事件。例如，如果網絡驅動程序成功加載，便會記錄一個信息事件。
(4)成功審核：接受審核且取得成功的安全訪問嘗試。例如，用戶對系統的成功登錄嘗試將作為一個“成功審核”事件被記錄下來。
(5)失敗審核：接受審核且未成功的安全訪問嘗試。例如，如果用戶試圖訪問網絡驅動器但未成功，該嘗試將作為“失敗審核”被記錄下來。

(二)維護服務器安全實例

1.打開並查看事件查看器中的三類日志
在“運行”中輸入“eventvwr.msc”直接打開事件查看器，在該窗口中單擊“系統”，如圖1所示，單擊窗口右邊的類型進行排序，可以看到類型中有警告、錯誤等多條信息。

在高度安全環境中，Windows 安全日志是寫入記錄對象訪問的事件的合適位置。其他審核位置也受支持，但是更易被篡改。

將 SQL Server 服務器審核寫入 Windows 安全日志有兩個關鍵要求：

必須配置審核對象訪問設置以捕獲事件。可根據您的操作系統而采用最佳的配置方法。

在 Windows Vista 和 Windows Server 2008 中，使用審核策略工具 (auditpol.exe)。審核策略程序公開了審核對象訪問類別中的多種子策略設置。若要允許 SQL Server 審核對象訪問，請配置應用程序生成的設置。

 

對於 Windows 的早期版本，審核策略工具不可用。請改用安全策略管理單元 (secpol.msc)。如果可用，優先采用審核策略，因為可以配置更精細的設置。

SQL Server 服務正在其下運行的帳戶必須擁有生成安全審核權限才能寫入 Windows 安全日志。默認情況下，LOCAL SERVICE 和 NETWORK SERVICE 帳戶擁有此權限。如果 SQL Server 正在其中一個帳戶下運行，則不需要此步驟。

將 Windows 審核策略配置為寫入 Windows 安全日志時，可能會影響 SQL Server 審核，此時若該審核策略配置不正確，就可能導致事件丟失。通常，將 Windows 安全日志設置為覆蓋較舊的事件。這樣可保留最新的事件。但如果 Windows 安全日志未設置為覆蓋較舊的事件，則當安全日志已滿時，系統將發出 Windows 事件 1104（日志已滿）。此時：

不再記錄其他安全事件

SQL Server 將無法檢測系統是否能夠在安全日志中記錄事件，從而導致可能丟失審核事件

Box 管理員修復安全日志後，日志記錄行為將恢復正常。

SQL Server 計算機的管理員應了解安全日志的本地設置可能會被域策略覆蓋。在這種情況下，域策略可能覆蓋子類別設置 (auditpol /get /subcategory:"application generated")。這可能會影響 SQL Server 在無法檢測 SQL Server 嘗試審核的事件是否將不被記錄的情況下記錄事件的能力。

您必須是 Windows 管理員，才能配置這些設置。在 Windows 中使用 auditpol 配置審核對象訪問設置,如果操作系統是 Windows Vista 或 Windows Server 2008，則利用管理權限打開命令提示符。在“開始”菜單中，依次指向“所有程序”、“附件”，右鍵單擊“命令提示符”，然後單擊“以管理員身份運行”。

在“用戶帳戶控制”對話框打開時，單擊“繼續”。

執行以下語句以從 SQL Server 啟用審核。

auditpol /set /subcategory:"application generated" /success:enable /failure:enable 

關閉命令提示符窗口。此設置將立即生效。在 Windows 中使用 secpol 配置審核對象訪問設置,如果操作系統的版本早於 Windows Vista 或 Windows Server 2008，則在“開始”菜單上單擊“運行”。鍵入 secpol.msc，然後單擊“確定”。在顯示“用戶訪問控制”對話框時，單擊“繼續”。在“本地安全策略”工具中，依次展開“安全設置”、“本地策略”，然後單擊“審核策略”。在結果窗格中，雙擊“審核對象訪問”。在“本地安全設置”選項卡上的“審核這些操作”區域中，選擇“成功”和“失敗”。單擊“確定”。 關閉安全策略工具。

 

此設置將立即生效。使用 secpol 將生成安全審核權限授予帳戶,對於任何 Windows 操作系統，在“開始”菜單上單擊“運行”。鍵入 secpol.msc，然後單擊“確定”。在顯示“用戶訪問控制”對話框時，單擊“繼續”。在“本地安全策略”工具中，依次展開“安全設置”、“本地策略”，然後單擊“用戶權限分配”。在結果窗格中，雙擊“生成安全審核”。在“本地安全設置”選項卡上，單擊“添加用戶或組”。在“選擇用戶、計算機或組”對話框中，鍵入用戶帳戶的名稱，例如 domain1\user1，然後單擊“確定”，或單擊“高級”並搜索帳戶。

單擊“確定”。 關閉安全策略工具。重新啟動 SQL Server 後，此設置才會生效。