除了最小型的企業(yè)外，所有組織都有針對服務(wù)器的某些等級的安全審計。不管它收集的信息關(guān)于失敗登錄次數(shù)、安全文件訪問、文件刪除、活動目錄修改或是其它，事實是我們大部分人需要獲取一定量的信息。

在一次討論會上，我發(fā)起了一次有關(guān)審計的小組討論，這次討論弄清楚了一件事：Windows的本地安全審計明確地有些安全問題。某位先生的故事可以代表每個人的經(jīng)歷：

管理方面要求我提供一些關(guān)于失敗登錄、成功登錄等事情的細節(jié)。我告訴他們，我們目前沒有收集這些信息，他們命令我們要去做這件事。我啟用了必要的審計，又盡快地幾乎將它們?nèi)P(guān)了。我們的域控制器根本不能處理額外的負載。

審計導致性能損失的事實最初讓很多管理員感到驚訝，因為這不完全是直覺。畢竟，域控制器已經(jīng)在執(zhí)行工作，為什么僅僅對它做個標注會這么難呢？它確實很難：有人表示，審計在他的公司是放在容量規(guī)劃里的工作。他估計他的團隊擁有的域控制器是處理登錄流量所需域控制器的兩倍，因為它已經(jīng)開啟了幾乎每一個可能的審計選項。

對文件服務(wù)器而言，拒絕訪問文件的請求是一件事，而打開事件日志并將事實標注出來又是完全不同的操作。雖然Windows的本地事件日志架構(gòu)是roburst，它并不是免費的。它需要計算力，它可以耗盡一臺服務(wù)器的所有性能。這也是審計幾乎總是在性能和知識間平衡的原因。發(fā)生越多的審計，這臺服務(wù)器最終處理的用戶工作負載就越少，因為它在審計工作負載上花的時間更多。一些組織只部署更多的計算資源來處理這些工作負載，其它企業(yè)為了保持服務(wù)器在理想的性能級別運行，不得不將審計量調(diào)整回去。

第三方審計解決方案有時候比本地事件日志架構(gòu)處理更高等級的審計。它們通過結(jié)合三種基本技術(shù)來完成這一任務(wù)：

安裝在服務(wù)器上的代理可以直接接入Windows的應(yīng)用程序接口（API），而不是等待事件寫入到事件日志中。這些代理節(jié)省了事件日志的日常開支，因為本地審計可以關(guān)閉。直接從API流量中獲取數(shù)據(jù)通?；ㄙM也更少。

審計數(shù)據(jù)可以“慵懶寫入”，這意味著它可以在較段時間內(nèi)排隊等候日志。這通常不是很長的一段時間，但它確實允許審計占用次要位置來處理用戶工作負載。

事件通常傳輸?shù)街醒霐?shù)據(jù)庫用于從服務(wù)器上實際地編寫、移除多一點的工作負載，因為該服務(wù)器不需要維持實際的日志。

管理員可能不得不做一些基于實驗室的實驗來精確地查看服務(wù)器環(huán)境中創(chuàng)建什么級別的性能會影響所選的審計配置。選擇審計方法的核心信息是：你不能擁有全部。管理需要理解，獲取每一點可能的信息都會產(chǎn)生性能影響，公司需要愿意為這些影響付出額外的服務(wù)器、更大的服務(wù)器或降低性能的代價。

【編輯推薦】

1. VNC遠程管理Linux服務(wù)器安全指導
2. 如何IIS出現(xiàn)RPC服務(wù)器不可用的問題？
3. WindowsVista安裝使用遠程服務(wù)器管理工具RSAT的方法
4. 如何配置VPN服務(wù)器？
5. 在Windows2003系統(tǒng)中如何安裝Web服務(wù)器組件？