打开工具： 程序/管理工具/事件查看器
系统日志
例子
日期 时间
来源 分类
01-3-31 Am02:05:04 Srv 无
01-3-31 Am01:51:23 EventLog 无
01-3-31 Am01:32:14 Browser 无
事件 2013 6005 8033
用户 计算机 N/A Imok N/A Imok N/A Imok
安全审计与管理
问题的提出
70%的安全问题起源于管理
几乎所有的安全事件的查处和追踪依赖 系统事件记录
系统资源的改善需要历史经验
审计
概念：根据一定的策略记录系统活动，这些记 录足以重构、评估、审查环境和活动的次序， 这些环境和活动在一项事务的开始到最后结束 期间能够围绕或导致一项操作、一个过程或一 个事件。
日志审计
3. 查看日志审计内容
用户可以根据需要设置好查询条件后点击确定按钮如下
一页图所示系统将列出详细的日志记录信息下面列举其
中一行进行说明
开始时间：3-22|10:04 结束时间：3-22|10:09
过滤动作：pass
网络协议：TCP
出访地址:端口: 192.168.100.156:1357
受访地址:端口: 162.105.100.166:80
主要工具:
– Authd – Dump_lastlog – logdaemom – loginlog.c.Z – netlog – NOCOL/NetConsole – Spar – sunrogate-syslog – chklastlog – chkwtmp – trimlog
UNIX安全审计
历史信息文件 HOME/.sh history ;用户登录进系统后执行的所有
命令
审计实例3-防火墙
日志审计 1. 选择日志文件 点击日志按钮后程序将从日志文件中读出
日志列表 用户可以根据日志列表中的起始和终止时
间选择要查询的文件界面如下
日志审计
日志审计
2. 设置日志审计条件 选择要查询的日志文件后会出现如后一页
作用：
–对潜在的攻击者起到震摄或警告 –对于已经发生的系统破坏行为提供有效的追纠证据 –为系统管理员提供有价值的系统使用日志，从而帮
助系统管理员及时发现系统入侵行为或潜在的系统 漏洞
NT安全审计方法
利用NT 的用户管理器，可以设置安全审 计规则。
要启用安全审计功能，只需在规则菜单 下选择审计，然后通过查看NT 记录的安 全性事件类型的事件，可以跟踪所选用 户的操作。
安全性规则更改：对用户权利、审计或 委托关系规则的改动。
重新启动、关机及系统：用户重新启动 或关闭计算机；或者发生了一个影响系 统安全性或安全日志的事件。
进程追踪：这些事件提供了关于事件的 详细跟踪信息，如程序活动，某些形式 句柄的复制，间接对象的访问和退出进 程。
对于“文件及对象访问”中的文件和 目录的审计还需要在资源管理器中对要 审计的目录或文件具体进行设置。
日志审计
安全管理技术
什么是安全管理？ 安全管理是指在安全法律、法规、政策
的支持与指导下，通过采用合适的安全 技术与安全措施，来保障系统和信息的 安全性
安全管理目标
使用访问控制机制，阻止非授权用户进 入网络，从而保证网络系统的可用性。
使用授权机制，实现对用户的权限控制， 用户不能得到不属于用户权限范围的信 息或操作，同时结合内容审计机制，实 现对网络资源及信息的可控性。
文件和目录审计允许您跟踪目录和文件 的用法。对于一个具体的文件或目录， 可以指定要审计的组、用户或操作。既 可以审计成功的操作，又可以审计失败 的操作。
审计目录可以选择下列事件：读、写、 执行、删除、更改权限、获得所有权。
WindowsXP的安全审计策略
NT 日志文件
名称： /WINNT/SYSTEM32/CONFIG/ .SysEvent.evt .SecEvent.evt .AppEvent.evt
应用日志
安全日志
其他日志
Ftp日志 Http日志 Snmp日志 SQL Server日志
应用实例2--UNIX 的安全审计
Unix的日志文件 主要目录: /etc /etc/security /usr/adm :早期版本 /var/adm :近期版本 /var/log
UNIX安全审计
NT 的审计规则如下（既可以审计成功的操 作，又可以审计失败的操作）：
登录及注销:登录及注销ຫໍສະໝຸດ 连接到网络 文件及对象访问：访问设置用于文件或
目录审计的目录或文件的用户向设置用 于打印机审计的打印机发送打印作业用 户
用户及组管理：创建更改或删除用户帐 号或组：重命名、禁止或启用用户号； 或者设置和更改密码。
主要工具
– L5 – tracerout – startUplog – supersave – bootlogger – inftp.pl
UNIX安全审计
Unix的日志文件（主要文件）: acct pacct ;记录所有用户使用过的文件 lastlog ;记录最新登录时间成/败 message ;记录syslog产生的输出到控制台的信息 Sulog ;使用su命令的记录 Utmp ;记录当前登录进系统的用户信息 Wtmp ;提供一份详细每次用户登录和退出的
连接报文数: 65 访问方向: out
经过网卡: 外卡
以上信息说明在3月22日上午10 04至10 09之间
内网一台IP地址为192.168.100.156的主机向外
网IP地址为162.105.100.166的主机发起了访问
(由于受访端口是80 正常应该是进行了Web浏
览) 其间共有65个TCP报文经由外网卡离开防火
使用加密机制，确保信息不暴漏给未授 权的实体或进程，从而实现信息的保密 性。
使用数据完整性鉴别机制，保证只有得 到允许的人才能修改数据，而未授权用 户无法修改，从而确保信息的完整性。
所示界面，用户可以根据查询时间(起始、 结束)、 访问方向（any、 in、 out）、 过滤动作（any、 pass、 deny） 网络协 议（IP、 TCP、 UDP、ICMP 、ESP ）、 出访IP地址、出访端口、受访IP地址受访 端口等限定条件，迅速、准确的找到想 察看的日志信息。
日志审计