上篇文章中，我們已經(jīng)知道了審計(jì)過程中遇到的各種事件，那么解決方案是什么呢？

答案是使用第三方產(chǎn)品來審計(jì)這項(xiàng)活動(dòng)。比如QuestSoftware公司以及Symantec公司都有做這項(xiàng)工作的工具。微軟是否會(huì)在新版的Windows中改變這個(gè)情況還不得而知。

使用事件查看器

在解決這個(gè)問題的過程中，WindowsServer2008中事件查看器功能起了很關(guān)鍵的作用。安全日志以其文件大小而聞名（文件非常大）---尤其是在審計(jì)的時(shí)候。當(dāng)開啟了GPO審計(jì)和對(duì)象級(jí)別的審計(jì)后，每個(gè)單一的屬性變化系統(tǒng)都會(huì)記錄20到30個(gè)事件。我可以使用事件查看器中的高級(jí)過濾功能建立幾個(gè)過濾器，而且當(dāng)有策略改變或者對(duì)象改變發(fā)生的時(shí)候只要刷新他們就可以了，這樣我就可以只查看重要的事件。

如圖5所示，過濾器建立在自定義視圖文件夾下。在這個(gè)例子中，我能夠分清楚事件級(jí)別，一個(gè)或者更多的ID數(shù)量、一個(gè)或者更多的事件日志（請(qǐng)注意，我在這里只需要安全日志，但是如果我想要其他日志的話也可以添加）等。我還指定了一個(gè)“持續(xù)12小時(shí)”的時(shí)間限定來進(jìn)一步限制過濾功能，而且我用本地名字把它存起來。舉個(gè)例子，如果我以后決定想要添加或者刪除事件ID，那么我可以編輯該過濾器，保存修改，然后刷新顯示，我就會(huì)得到一個(gè)新的事件數(shù)據(jù)集合。

圖5.自定義視圖文件夾

把全部的安全日志進(jìn)行分類需要非常長(zhǎng)的時(shí)間；自定義視圖過濾器只需要一兩秒的時(shí)間就可以完成這項(xiàng)工作。當(dāng)然這里也存在危險(xiǎn)，如果你沒有把必要的事件包含在過濾器中，那么他們也不會(huì)出現(xiàn)在過濾結(jié)果中。在我的例子中，我在最后一小時(shí)的時(shí)候開始使用過濾器限制事件，然后找到與我的審計(jì)有關(guān)的事件并把他們添加到過濾器中事件ID里。從圖5中你可以看到，我定義了許多個(gè)不同目的自定義視圖，他們也是可以使用的。

我使用的另外一個(gè)功能是把細(xì)節(jié)復(fù)制成文本。過去如果想要得到事件ID4738的詳細(xì)信息，我要進(jìn)行多次截屏才能完成，因?yàn)槭录脑敿?xì)信息在一頁內(nèi)顯示不完。在WindowsServer2008事件查看器中，只需要右擊某個(gè)事件，選擇復(fù)制>復(fù)制成文本選項(xiàng)，然后就可以把信息粘貼在類似于Notepad的記事本中了。這樣就能夠以文檔的方式顯示所有的信息了。

現(xiàn)在假設(shè)你想檢查一段時(shí)間內(nèi)所有的事件---比如說從早上8點(diǎn)到下午5點(diǎn)---并且要把這些事件發(fā)送給一個(gè)技術(shù)支持工程師或者說想要一個(gè)比較小的文件。你只要在事件查看器中選擇想要的事件，右擊，然后選擇保存所選事件選項(xiàng)并且指定保存路徑（圖6）就可以了。這樣做可以生成一個(gè)比較小的事件日志文件，讓檢測(cè)核查工作更加簡(jiǎn)單，文件也容易轉(zhuǎn)移。

圖6.保存所選事件

最后，圖7顯示了保存日志功能。在舊版本的文件查看器中，如果你加載了保存日志，他們將會(huì)在事件查看器關(guān)閉之后消失。但是現(xiàn)在他們會(huì)一直都會(huì)存在，直到你刪除他們。此外，現(xiàn)在的事件查看器版本中他們有自己的名字，而在舊版的事件查看器中他們被統(tǒng)稱為“保存的應(yīng)用程序日志”。WindowsServer2008中的事件查看器還可以分辨出事件日志是哪種類型（系統(tǒng)、應(yīng)用程序等等），所以你不必指定日志類型，使用起來更加方便。

圖7.保存日志功能

那么讓我們快速總結(jié)一下本文所描述的內(nèi)容。雖然WindowsServer2008R2中的屬性審計(jì)是一個(gè)強(qiáng)大的功能，但是它缺少核查審計(jì)計(jì)劃改變的能力，這樣的后果就是有些靠不住的域管理員可能會(huì)做出破壞性的改變。當(dāng)你沒有辦法來檢查這種事情的時(shí)候，分辨一個(gè)管理員是否值得信任非常困難。雖然有些第三方軟件對(duì)此會(huì)有所幫助，但是這一點(diǎn)畢竟是Windows審計(jì)中的弱點(diǎn)。

WindowsServer2008中EventViewer的新功能具有極大的靈活性以及強(qiáng)大的過濾功能，這是舊版本的軟件所不具備的。它可以產(chǎn)生非常好的數(shù)據(jù)報(bào)告，在系統(tǒng)監(jiān)測(cè)過程中提供很大的幫助。它還可以協(xié)助管理員快速識(shí)別關(guān)鍵事件，不用再通過辛苦的查看大量日志才找到那些與問題有關(guān)的事件。

總結(jié)：

希望本系列教大家利用WindowsServer2008中的事件查看器來審計(jì)AD管理員的方法能夠?qū)ψx者有所幫助，更多有關(guān)操作系統(tǒng)的知識(shí)還有待于讀者去探索和學(xué)習(xí)。

【編輯推薦】

1. FileZilla實(shí)用功能之文件過濾器
2. WindowsServer2008安全無處不在
3. WindowsServer2008R2域控制器:RODC
4. 提升WindowsServer2008上網(wǎng)速度的方法
5. WindowsServer2008R2系統(tǒng)啟用審計(jì)功能的記錄事件