1、安全审计的基础知识 时间记录头有下列域组成:时间记录头有下列域组成:(1)日期:事件的日期标识。(2)时间:事件的时间标识。(3)用户名:表识事件是有谁触发的。(4)计算机名:事件所在的计算机名。当用户在整个企业范围内集中 安全管理时,该信息大大简化了审计信息的回顾。(5)事件ID:事件类型的数字标识。在事件记录描述中,这个域通常被映射 成一个文本表识(事件名)。(6)源:用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。(7)类型:事件严重性指示器。在系统和应用日志中,类型可以是错误、警告或信息,按重要性降序排列。(8)种类:触发事件类型,主要用在安全日志中指示该类
2、事件的成功 或失败审计已经被许可。Windows NT提供了大量特征给系统管理员区管理操作系统事件日志机制。例如:管理员能限制日志的大小并规定当文档达到容量上限时,如何去处理这些。选项包括:用新纪录去冲掉最老的纪录,停止系统直到事件日志备受共清除。当系统开始运行时,系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须备受共清除时,日志停止。另一方面,安全事件日志必须由具有管理者权限的人启动。利用NT得用户管理器,可以设置安全审计规则。要启动安全审计的功能,只需在规则菜单下选择审计,然后通过察看NT记录的安全事件日志中的安全性事件,既可以跟踪所选用户的操作。5.与连接按日志不同,进
3、程统计子系统缺省为不激活,必须通过启动来激活。在Unix/Linux系统中启动进程统计accton命令,必须用root身份来运行。accton命令的形式为accton file,file必须先存在。然后运行accton:accton/var/log/pacct。进程日志系统可以跟踪每个用户运行的每条命令,并且对跟踪一个入侵者有帮助。,进程系统一个问题是pacct文件可能增长得十分迅速。这是需要交互式或经过corn机制运行sa命名来保持日志数据在系统控制的范围内。每一次的加油,每一次的努力都是为了下一次更好的自己。22.10.422.10.4Tuesday,October 04,2022天生我材
4、必有用,千金散尽还复来。6:39:296:39:296:3910/4/2022 6:39:29 AM安全象只弓,不拉它就松,要想保安全,常把弓弦绷。22.10.46:39:296:39Oct-224-Oct-22得道多助失道寡助,掌控人心方位上。6:39:296:39:296:39Tuesday,October 04,2022安全在于心细,事故出在麻痹。22.10.422.10.46:39:296:39:29October 4,2022加强自身建设,增强个人的休养。2022年10月4日上午6时39分22.10.422.10.4扩展市场,开发未来,实现现在。2022年10月4日星期二上午6时39
5、分29秒6:39:2922.10.4做专业的企业,做专业的事情,让自己专业起来。2022年10月上午6时39分22.10.46:39October 4,2022时间是人类发展的空间。2022年10月4日星期二6时39分29秒6:39:294 October 2022科学,你是国力的灵魂;同时又是社会发展的标志。上午6时39分29秒上午6时39分6:39:2922.10.4每天都是美好的一天,新的一天开启。22.10.422.10.46:396:39:296:39:29Oct-22人生不是自发的自我发展,而是一长串机缘。事件和决定,这些机缘、事件和决定在它们实现的当时是取决于我们的意志的。2022年10月4日星期二6时39分29秒Tuesday,October 04,2022感情上的亲密,发展友谊;钱财上的亲密,破坏友谊。22.10.42022年10月4日星期二6时39分29秒22.10.4谢谢大家!谢谢大家!
