日志是Windows NT/2000/XP的重要组成部分,重要的服务都有自己的日志文件,里面记录了服务的各个细节(如:启动、关闭、运行服务过程中的各种信息等等)。作为个人用户或小型局域网的服务器管理人员,应该对日志有足够的重视程度,要增加查看日志的次数。无论从系统的稳定性和可靠性方面来说,还是从系统的安全性来讲,日志总是能提供第一手资料。现在的“黑客”总是喜欢拿个人用户或者小型局域网的服务器来下手,而且一些软件和服务在使用过程中经常会有一些问题(现在盗版成风嘛,盗版货常出问题)。从日志中可以发现系统的许多错误和安全性问题等,所以可以借助日志来排除相关的问题。发挥日志的功用,让系统更加稳定、有效、安全的运行。下面先介绍大致一些日志的基本用法,然后主要介绍我在使用日志过程中总结的一部分经验,希望能给大家一些帮助。
一、事件查看器的用法
系统中有相当一部分日志可以在这里查看到,一般它包括几个日志类型:应用程序日志、安全日志、系统日志,如果安装的活动目录的话还有活动目录日志。事件查看器如下图。
1、选择其中一个日志,单击右键,选择“属性”,可以看到下图所示的对话框。
2、“常规”选项中包含了一些基本的属性设置信息。如果你的系统有较多的服务,或者请求服务的机器较多,应该加大日志文件的大小,视情况而定了。同时应该注意所设置的天数,应尽量避免日志被改写。
这里我要提醒一下,管理员应该定期备份和清除日志。历史日志也是非常有价值的,里面往往包含着系统将要发生的问题或隐含的问题,它们的作用不可忽视。
属性对话框的第二个选项是“筛选器”,如图所示。它包含了详细的属性设置信息,借助它可以帮助管理人员筛选去不必要的信息,减少管理人员的负担。
可以在“事件类型”中钩去一些不必要的类型以减少系统的负荷,例如,某些日志中的大多数“信息”都是一些“废话”(如某某服务启动了、停止了或者是成功完成某项操作了),在保证这些服务能正常工作的情况下,你可以把“信息”这个选项前面的钩去掉。同时还可以根据服务器工作的时间来合理设置日志进行记录的时间。具体如何设置我就不废话了,相信大家也能够进行这些基本操作。
3、增加日志:一些日志可能不在时间查看器之中,或者想另外建立一些相同类型的日志文件,我们可以手工添加上去,便于整体管理。
二、审核和日志的配合使用
在“本地安全策略”(如果是域级的系统应该在“域安全策略”)中将审核打开,而具体某个对象需要对对象进行设置。当然,他们的相关信息都可以在事件查看器里查看到。
1、对关键目录和文件进行审核,方法:在我的电脑->(右键)属性->安全进行设置。
这里列出一些关键文件,供参考net.exe、netsh.exe、at.exe、ftp.exe、tftp.exe、cmd.exe、telnet.exe、ntdltm.exe、tlntsvr.exe、format.exe。
关键目录:主要系统目录中的config目录、logfiles目录、存放web文件的目录等等。已经自己存放机密文件的目录。需根据具体情况而定。
2、对于系统登录事件不可忽略,即使不上网对于本地机器也是应该要注意安全的,可以打开“审核帐户登录事件”,审核成功和失败。
3、注册表:作为系统信息的庞大数据库,里面存放了系统的各种设置和信息,因此常常被别有用心的人利用,所以要好好利用保护好注册表,所以要打开核策略中配置审核对象访问设置。
4、终端服务的审核不是默认打开的,可以在Terminal Srvce Configration(远程服务配置)->权限->高级,然后在里面配置安全审核即可,建议配置成记录登录、注销事件即可。
三、IIS和日志
IIS中的服务大都有自己的日志文件,要注意的是,也许日志会比较多,看起来也比较麻烦。我推荐用Fastats Analyzer这个工具来进行分析,它的功能十分的强大。它可以支持IIS 3/4/5/6以及Apache产生的日志,而且分析的项目很多、很细致。其最大的优点就是大量使用使用图表的方式来表示分析的信息,这非常适合一些想“偷懒”的人。当然它也是非常专业的,适合局域网的而且开了WEB服务的服务器管理员使用。
四、自制日志
这里所谓的自制就是利用一些工具,手动的生成日志,它们可能不是.log格式,但可以用记事本打开进行查看。
1、利用netstat查看网络状态,并利用“>>”建立自己的日志。Netstat的用法很多地方都有介绍,我就不多说了,举个例子:netstat –n –p tcp 10 >>net.log,表示每10秒钟就查看一次tcp连接的情况。一些木马就能从这里发现!
2、网络防火墙。如果上网的时候总是有不正常的一些情况出现,或者防火墙经常报警,那么可以查看日志,看看是谁在对你“下毒手”,可以对此IP进行“封杀”。日志常常能帮助你找到一些木马。
3、病毒防火墙。病毒所引起的问题是非常多的,日志能帮你查找一些结症,例如有的病毒总是没杀干净,这可以在日志中反映出来,根据就可以得到病毒的信息,而采取不同的杀除策略。
五、关于日志
1、许多所谓的“黑客”瞄准了有些安全设置不太高的系统,他们所留下的蛛丝马迹在日志中大都能发现,但他们也会对日志进行清除工作,建议对保护有日志文件的目录或日志本身进行审核,并提高其访问全息。
2、再强调一次,日志和系统的各个方面都有关联,每个时刻日志都在增加,因此一定要定期备份和清理,以便在系统出现问题的时候即时对历史日志进行分析,往往能找出问题的关键。
3、对于服务器,可根据服务的类型的不同而对记录日志而有所侧重,以免造成系统运行效率的降低。
最后,提高系统的稳定性和安全性需要多方面的工作,日志仅仅是其中的一项,应该互相配合使用,达到最佳效果。
|