1、第九章 安全审计 安全审计概念 Linux/UNIX 日志 Windows 2000 审核 防火墙日志 安全审计概念 Linux/UNIX 日志 Windows 2000 审核 防火墙日志安全审计 安全审计:是指根据一定的安全策略,通过记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。作用:-对潜在的攻击者起到震慑或警告作用;-对于已经发生的系统破坏行为提供有效的追纠证据;-为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。-为系统管理员提供系统运行的统计日志,使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。UNIX/L
2、inux常用的日志文件日志描述acct pacct记录所有用户使用过的文件lastlog记录最新登录时间(成/败)message记录syslog 产生的输出到控制台的信息sulog使用su命令的记录syslog从syslog中记录信息utmp记录当前登录进系统的用户信息wtmp一个用户每次登录和退出时间的永久记录Windows 2000审核Windows 2000审核Windows 2000审核Windows 2000审核审计日志功能 日志选项:不做日志、系统日志、访问控制策略日志、应用层协议日志、应用层内容日志、VPN日志、HA日志 日志储存方式:本地保存 SNMP Trap传送 标准的Syslog E-Mail传送重点日志 支持WebTrends 日志浏览日志设置SNMP配置界面Syslog配置界面日志设置EMAIL 告警配置界面日志策略日志策略新增界面日志策略策略浏览界面
