大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。
成都创新互联公司专业为企业提供堆龙德庆网站建设、堆龙德庆做网站、堆龙德庆网站设计、堆龙德庆网站制作等企业网站建设、网页设计与制作、堆龙德庆企业网站模板建站服务,10多年堆龙德庆做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
日志文件默认存放位置:%systemroot%\system32\config,默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。
概述
查看系统日志方法:开始→设置→控制面板→管理工具中找到的“事件查看器”,或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件,在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。
微软系统中任何关于如何限制或控制管理员权限的讨论通常都会得到这样的结果:你怎样才能不把管理权限送给那些你不信任的人?这有一定道理,但是在没有证据表明管理员做错了事情的情况下,如何才能正确判断一个管理员是否值得信任呢?再者,你如何证明你的判断呢?你不能剥夺一个域管理员太多权限,尤其是在每个域都要管理的多网域环境下,所以说有时候限制管理员的权利和授权活动这项工作很难实现。辅助人员和供给人员通常也需要具有管理权利,而且有时政治需求还会需要更多的管理人员。所以,真正的问题是,你如何去审计一个管理员?虽然答案是只要启用审计就行了,但是只是简单地启用审计功能并不能解决所有的问题。举例来说,我最近与许多管理员一起进行了一项大型的活动目录部署活动。他们有一个应用程序,使用特定的用户对象属性提供对该应用程序的连接。站在安全相关立场,他们发现管理员可以禁用审计功能,修改一些关键的属性,并且可以对该应用程序做坏事。然后该管理员可以重新启用审计功能而不会被觉察---甚至WindowsServer2008R2的属性审计功能也是如此。启用审计功能的时候,系统可以记录足够的事件,从中可以看出谁改变了对象,以及谁改变了属性。但是由于审计功能被禁用,所有这方面的证据都消失了。
一.Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。
Windows NT/2000主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
1.应用程序日志
记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。
2.系统日志
记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
3.安全日志
记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区,表14-3-1描述了事件记录的结构。
1、可以从查看服务信息审计。
2、可以从查看驱动信息审计。
3、可以从查看注册表键值审计。
4、可以从查看系统日志审计等方面审计。
LC工具不是审计工具,所以是无法进行账户的审计的。
LC工具是安装于Windows操作系统的电脑,用于打印机打印各类标签编码的软件。并可以用于审计。
“Microsoft帐户”(也称“微软账户”,英文"MicrosoftAccount")是以前的“WindowsLiveID”的新名称。你的Microsoft帐户是你用于登录Outlook、OneDrive、WindowsPhone或XboxLive等服务的电子邮件地址和密码的组合。
审核who-data
新版本3.4.0。
从3.4.0版本开始,Wazuh集成了一项新功能,可以从监控文件中获取who-data。
此信息包含对监控文件进行更改的用户,以及用于执行这些更改的程序名或进程。
一、在Linux中审计who-data
who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件,这些审计事件由syscheck处理并报告给经理。
1、配置
首先,我们需要检查审计守护进程是否安装在我们的系统中。
在基于RedHat的系统中,Auditd通常是默认安装的。如果没有安装,我们需要使用以下命令进行安装:
# yum install audit
对于基于Debian的系统,请使用以下命令:
# apt install auditd
下一步是配置syscheck,以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:
添加此配置后,我们需要重新启动Wazuh来应用更改。
我们可以检查是否应用了用于监视所选文件夹的审计规则。要检查这一点,我们需要执行以下命令
# auditctl -l | grep wazuh_fim
并检查是否添加了规则
当代理停止时,我们可以使用相同的命令检查添加的规则是否已成功删除。
2、警报字段
当启用whodata时,在FIM警报中接收到以下字段:
3、警报的例子
在下面的示例中,我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:
日志格式警告:
JSON格式的警告:
二、在Windows中审计who-data
1、它是如何工作的
who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件,这些审计事件由syscheck处理并报告给管理者。兼容大于Windows Vista的系统。
2、配置
要在whodata模式下启动监视,必须正确配置要监视的目录的SACL。Wazuh在启动ossec.conf文件中标记whodata="yes"的目录时自动执行此任务:
系统审计策略也需要正确配置。对于大多数受支持的Windows系统,这部分也是自动完成的。如果您的系统优于Windows Vista,但审计策略无法自配置,请参阅配置本地审计策略指南。
三、警报字段
启用whodata时,将收到以下字段:
四、警报的例子
日志格式警告:
JSON格式的警告: