除了最小型的企業(yè)外，所有組織都有針對服務(wù)器的某些等級的安全審計。不管它收集的信息關(guān)于失敗登錄次數(shù)、安全文件訪問、文件刪除、活動目錄修改或是其它，事實是我們大部分人需要獲取一定量的信息。

　　在TechEd 2011上，我發(fā)起了一次有關(guān)審計的小組討論，這次討論弄清楚了一件事：Windows的本地安全審計明確地有些安全問題。某位先生的故事可以代表每個人的經(jīng)歷：

　　管理方面要求我提供一些關(guān)于失敗登錄、成功登錄等事情的細(xì)節(jié)。我告訴他們，我們目前沒有收集這些信息，他們命令我們要去做這件事。我啟用了必要的審計，又盡快地幾乎將它們?nèi)P(guān)了。我們的域控制器根本不能處理額外的負(fù)載。

　　審計導(dǎo)致性能損失的事實最初讓很多管理員感到驚訝，因為這不完全是直覺。畢竟，域控制器已經(jīng)在執(zhí)行工作，為什么僅僅對它做個標(biāo)注會這么難呢？它確實很難：有人表示，審計在他的公司是放在容量規(guī)劃里的工作。他估計他的團(tuán)隊擁有的域控制器是處理登錄流量所需域控制器的兩倍，因為它已經(jīng)開啟了幾乎每一個可能的審計選項。

　　對文件服務(wù)器而言，拒絕訪問文件的請求是一件事，而打開事件日志并將事實標(biāo)注出來又是完全不同的操作。雖然Windows的本地事件日志架構(gòu)是roburst，它并不是免費(fèi)的。它需要計算力，它可以耗盡一臺服務(wù)器的所有性能。這也是審計幾乎總是在性能和知識間平衡的原因。發(fā)生越多的審計，這臺服務(wù)器最終處理的用戶工作負(fù)載就越少，因為它在審計工作負(fù)載上花的時間更多。一些組織只部署更多的計算資源來處理這些工作負(fù)載，其它企業(yè)為了保持服務(wù)器在理想的性能級別運(yùn)行，不得不將審計量調(diào)整回去。

　　第三方審計解決方案有時候比本地事件日志架構(gòu)處理更高等級的審計。它們通過結(jié)合三種基本技術(shù)來完成這一任務(wù)：

　　安裝在服務(wù)器上的代理可以直接接入Windows的應(yīng)用程序接口（API），而不是等待事件寫入到事件日志中。這些代理節(jié)省了事件日志的日常開支，因為本地審計可以關(guān)閉。直接從API流量中獲取數(shù)據(jù)通?；ㄙM(fèi)也更少。

　　審計數(shù)據(jù)可以“慵懶寫入”，這意味著它可以在較段時間內(nèi)排隊等候日志。這通常不是很長的一段時間，但它確實允許審計占用次要位置來處理用戶工作負(fù)載。

　　事件通常傳輸?shù)街醒霐?shù)據(jù)庫用于從服務(wù)器上實際地編寫、移除多一點(diǎn)的工作負(fù)載，因為該服務(wù)器不需要維持實際的日志。

　　管理員可能不得不做一些基于實驗室的實驗來精確地查看服務(wù)器環(huán)境中創(chuàng)建什么級別的性能會影響所選的審計配置。選擇審計方法的核心信息是：你不能擁有全部。管理需要理解，獲取每一點(diǎn)可能的信息都會產(chǎn)生性能影響，公司需要愿意為這些影響付出額外的服務(wù)器、更大的服務(wù)器或降低性能的代價。

【編輯推薦】

1. 虛擬化影響全球環(huán)境的五大關(guān)鍵點(diǎn)
2. 你絕對想不到 Linux的另類用途（圖解）
3. 甲骨文：我們也要做硬件領(lǐng)域的第一！
4. 兩招即可提升FTP服務(wù)器資源訪問效率