windows NT事件日誌說明 (轉)

worldblog發表於2007-12-02
windows NT事件日誌說明 (轉)[@more@] NT事件日誌說明
原作者:NtWak0:NAMESPACE PREFIX = TO />
翻譯整理:補天-蘇櫻

概要

以下內容是關於事件日誌的非常好的、深入的文章。 日誌通常用審計機或某種工具來管理。
這篇文章也包含:當一個被Locked out時,在事件日誌裡報告的SID有點小問題。


詳細資料

日誌型別:
這裡有三種型別的NT事件日誌:

日誌
跟蹤各種各樣的系統事件,比如跟蹤系統啟動過程中的事件或者和控制器的故障。

應用日誌
跟蹤應用程式關聯的事件,比如應用程式產生的象裝載DLL(動態連結庫)失敗的資訊將出現在日誌中。

日誌
跟蹤事件如登入上網、下網、改變訪問以及系統啟動和關閉。注意:安全日誌的預設狀態是關閉的。


日誌位置以及啟動方法
NT日誌的位置是:
%SYSTEM%system32configSysEvent.Evt
%SYSTEMROOT%system32configSecEvent.Evt
%SYSTEMROOT%system32configAppEvent.Evt

通常,NT不是將所有的事件都記錄日誌,你不得不手動啟動審計,照下面的步驟做:

1-從開始選單中選擇程式,然後再選擇管理工具。 從管理工具子選單選擇使用者管理器,顯示出使用者管理器視窗。
2-從使用者管理器的選單中單擊POLICIES(策略),然後單擊AUDIT(審計),審計策略視窗就出現了。
3-選擇單選框“AUDIT THEST EVENTS”(審計這些事件)
4-選擇你需要啟動的按OK,然後關閉使用者管理器。

特殊許可權的審計:
系統中某些特殊許可權是不能被預設的事件來審計的,甚至是特權的審計已經被啟動。這是妥當的控制審計日誌的增長。
特殊許可權有以下這些:

1-繞過驗證限制----(對每個人)是同意每個人的,所以從審計的觀點來看對它進行審計是無意義的。

2-DE程式(對管理員)。 它在工作系統不使用,並能從管理員組中移掉(或者說取消)。

3-建立一個象徵意義的(沒有人), 它對誰也不准許。

4-替換過程級別標記(沒有人),它對誰也不准許。

5-生成安全審計 (沒有人),它對誰也不准許。

6-和目錄,(管理員備份操作員), 它用在正常的系統操作過程中。

7-恢復檔案和目錄,(管理員備份操作員), 它用在正常的系統操作過程中。

要啟動對這些特殊許可權的審計,在登錄檔裡增加以下鍵:
Hive: HKEY_LOCAL_MACHINESYSTEM
Key: SystemCurrentControlSetControlLsa
Name: FullPrivilegeAuditing
Type: REG_BINARY
Value: 1

或者建立一個名為audit.reg的文字檔案,將下面語句剪下和貼上到文字中。
-----------------------------------------------------------[SNHERE]------
REGEDIT4
ADD A BLANK LINE HERE
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"FullPrivilegeAuditing"=hex:01
ADD A BLANK LINE HERE
-----------------------------------------------------------[SNIP HERE]------

要將.reg檔案存入登錄檔中,你可以雙擊它,或者開啟一個命令列並且輸入命令 REGEDIT /S audit.reg


這將使你建立的檔案合併入系統登錄檔。

審計基礎的物件
這項安置的註冊鍵向本地安全管理局表明那些基礎物件應由預設的系統審計控制列表來建立。
管理員仍然需要用使用者管理器來把“目標訪問”類別的審計開啟。

啟動基礎物件的審計,在登錄檔中增加下列鍵
Hive: HKEY_LOCAL_MACHINESYSTEM
Key: CurrentControlSetControlLsa
Name: AuditBases
Type: REG_D
Value: 1


或者建立一個名為audit0bj.reg的檔案,並把下列內容剪下並複製到該檔案中
-----------------------------------------------------------[SNIP HERE]------
REGEDIT4
ADD A BLANK LINE HERE
[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa]
"AuditBaseObjects"=dword:00000001
ADD A BLANK LINE HERE
-----------------------------------------------------------[SNIP HERE]------

要將.reg檔案存入登錄檔中,你可以雙擊它,或者開啟一個命令列模式並且輸入命令 REGEDIT /S auditObj.reg

這將使你建立的檔案合併入系統登錄檔。


範例:
當你啟動安全審計時你會看到什麼呢?

在這個例子中,你將看到在登入上網失敗後事件日誌中記錄的內容:

Logon Failure:
Reason: Unknown user name or bad password
User Name: WaKiNg
ain: WaK0
Logon Type: 3
Logon Process: KSecDD
Authentication Package: _AUTHENTICATION_PACKAGE_V1_0
Workstation Name: BRAINCELL


清除NT日誌:
要清除一個日誌,切換到你要清除的日誌,在日誌選單裡單擊“清除所有事件”, 一個資訊會彈出詢問你是否想將目前的事件存檔,
如果你回答是,“SAVE AS”對話方塊就出現了, 輸入你要存檔的檔名和目錄。 無論你回答是或否後,事件閱讀器就清空了當前的日誌。
然後只有新的事件會出現在日誌中了。

注意:當你刪除安全日誌時,一個事件將會出現在安全日誌裡。

即使你清除日誌,你仍然會在日誌裡看見以下的條目:
The audit log was cleared
Primary User Name: SYSTEM
Primary Domain: NT AUTHORITY
Primary Logon ID: (0x0,0x3E7)
Client User Name: WaKiNg
Client Domain: BRAINCELL
Client Logon ID: (0x0,0x2581)

這些條目表示你清除了安全事件日誌。 現在如果你想完全清除日誌,你可以按以下步驟操作:

1-開啟控制皮膚中的服務
2-查詢ENENTLOG服務,並且單擊STARTUP按鈕
3-在啟動型別中選擇Manual 或者Disabled
4-重啟動NT
5-到%SYSTEMROOT%system32configSecEvent.Evt 刪除SecEvent.Evt

這樣做了以後,系統就會停止事件日誌服務,你就能夠刪除你想要刪除的日誌了。

管理NT日誌的工具:
NT資源工具包中的 dumpel.exe

NTLast


NTLast是特別針對嚴重的和IIS管理的工具。 預定回顧你的NT事件日誌對你的來說是不可取的,因為常規的系統審計
能導致一個服務破壞。 用NTLast識別和跟蹤誰取得了系統的訪問,並且存檔詳細資料變得容易多了。

這個工具能很快報告出IIS使用者的狀況,以及從控制檯過濾出 SERVER的登入。

EventReader


EventReader(TM)是一個管理工具,它允許員分析和管理事件日誌。 這個程式讓你從一個網路的WINDOWS NT機器上
收集事件日誌,並且將資訊到一個或幾個OC相容(Microsoft
Server or Microsoft Access)的中。你可以指派哪個來收集資訊、分配一個進度表、收集資料、備份事件日誌引數。
包裡包括一個Microsoft Access樣品資料庫,它包括許多能有效分析事件日誌的查詢和報表。

Event Archiver Enterprise


Event Archiver Enterprise是市場中事件管理工具裡最易於使用的產品之一, 以它的適應性超出其他同類產品。
我們將它認為是一種“設定一次,永久執行”的應用程式,並相當可觀的節省了你們組織的時間和金錢。
以一個WINDOWS NT/2000管理員的平均時間成本來計算,Event Archiver Enterprise就大大減少了你們公司的總體成本。
安裝了Event Archiver,管理員就可以開始分析事件日誌條目,而不用繁瑣而要有規律地儲存和儲存它們。


EventReporter version 4.0


4.0版本提供了一些重要的增強功能,增強的文件,增強的WebSite。例如:透過客戶端傳遞訊息裡增加了
基於嚴格程式碼(如:錯誤,警告)的自定義EventRepporter過濾圖形介面。


Remote Viewers - Event Log Monitor


Remote Viewer for Windows PC 執行於Microsoft Windows 95, , Windows NT上,
讓你查詢並顯示由控制檯接收到的事件日誌資訊。從可以立即顯示的檢視控制檯裡接收使用者選擇的實時警告。

提供遠端管理程式、服務和裝置程式。
提供遠端查詢、編輯、建立使用者自定義記事、資訊參考和多樣的遠端命令形式視窗。

SID安全問題:
許多管理員知道NT的SID和允許你取得使用者SID的工具"sid2user"。 這裡有另外一個不很明顯的方法來取得使用者的SID。
假定下面列出的是真實的:

1-預設的NT日誌可以遠端檢視
2-你已經啟用了審計
3-你的系統策略是當一個帳號的(登入)錯誤達到一個指定的次數後阻止這個帳號(繼續嘗試登入).

下面是你如何使NT倒出SID的做法:
試著用現已存在的任何帳號登入遠端,伺服器提示你登入失敗後,事件閱讀器中將會生成一條記錄:

Logon Failure:
Reason: Unknown user name or bad password
User Name: WaKiNg
Domain: WaK0
Logon Type: 3
Logon Process: KSecDD
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: BRAINCELL


如果你有一條策略是 當一個帳號的(登入)錯誤達到一個指定的次數後你的系統策略會阻止這個帳號(繼續嘗試登入),
你將會在你的日誌檔案裡看到下面的條目:

User Account Locked Out:
Target Account Name: WaKiNg
Target Account ID: S-1-5-21-431509504-1754822488-1124750213-500
Caller Machine Name: BRAINCELL
Caller User Name: SYSTEM
Caller Domain: NT AUTHORITY
Caller Logon ID: (0x0,0x3E7)

所以如果現在你用事件檢視器連線遠端計算機的事件日誌,你將會看到日誌中目標帳號的SID:
S-1-5-21-431509504-1754822488-1124750213-500

更多好文章請到中華補/" target=_blank>

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752043/viewspace-987337/,如需轉載,請註明出處,否則將追究法律責任。

相關文章