作为一个系统管理员,必须要对系统事故找到故障原因,这就要求对系统的各项日志进行察看分析。在Windows NT中是使用【Administrative Tools】菜单中【Event Viewer】查看系统的Sy m Security、Application日志文件。并利用Windows NT的安全工具监视系统运行状况,在Windows NT提供了一组基本的监视系统、网络运行状况的工具,对Windows NT护具有一定的帮助。
1. 事件查看器
这是最常用的工具,与Windows NT的审核功能结合,可以纪录非法用户的入侵、攻击以及普通用户未经许可的访问。事件查看器允许用户监视在应用程序、系统安全性和系统日志里记录的事件。
2. 应用程序日志
记录由应用程序或系统程序产生的事件。
3. 系统日志
记录由indows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其他系统组件的失败都可记录在系统日志中。
4. 安全日志
用来记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中要记录什么事件。
文件访问日志与关键文件的保护,除了系统默认的安全审核外,我们还可以加设文件访问日志,记录对它们的访问。文件访问有很多的选项:访问、修改、执行、新建、属性更改……
一般来说,关注访问和修改能起到很大的监视作用。例如,如果我们监视了系统目录的创建、修改,甚至部分重要文件的访问(例如 cmd.exe,net.exe,system32目录),那么,入侵者就很难在不引起我们注意的情况下安放后门。
要注意的是,监视的关键文件和项目不能太多,否则不仅增加系统负担,还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件,还包括有可能对系统管理员和其他用户构成危害的任何文件,例如系统管理员的配置、桌面文件等等,这些都是有可能被用来窃取系统管理员资料和密码的。