网络管理中的事件审核

审核某个计算机用户或者操作系统的事件是日常网络管理工作的一个重要部分。网络管理员通过选择需要审核的对象，然后在事件日志中就可以跟踪用户的使用情况、安全问题和网络状况。
　　
　　确定审核事件的策略
　　但一定要注意不要妄图审查计算机上所有的事件，因为要审查的事件越多，日志就越大。而查看庞大的事件日志本身就是一件非常痛苦的事情，导致的结局甚至可能是不会再有人愿意看它了。
　　因此，在考虑审核事件时的策略非常重要，基本原则是应在不加重管理员负担的前提下适当的保护网络。另外需要注意的是，每增加一个审核事件，服务器就要增加一些执行上的消耗。
　　每次审核事件都要报告一些事情，但是这些有时并不是所需要的。如审查成功的登录和注销，可能会发现盗用密码，但它也会产生了很长只是记录正确授权用户正常登录和注销的事件。因此如果要审核是否有人进行随机测试破解密码，使用审核失败登录就能很清楚的得到这些事件的记录。
　　
　　启动审核策略设置
　　确定了审核事件的策略之后，也就是明确了要启动的审核策略设置，就可以通过“管理工具”启动“Active Directory用户和计算机”控制台。然后用鼠标右键单击控制台中的域名，在弹出菜单中单击“属性”命令。
　　随后在弹出的对话框中选择“组策略”选项卡，然后单击“编辑”按钮。在组策略控制台左边窗格上，依次单击打开“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“审核策略”节点，就能看到审核策略的内容，如图1所示。

　　如果想要打开审核的事件类型，可以双击打开该策略，然后在弹出的对话框中选择相应的复选框，设置是否开启审核，是审核成功还是失败的事件等。在确定开启该审核项目时，需要确定其是自己需要的。例如，“审核对象访问”或“审核目录服务访问”以后，就可以设置对某些文件或对象的访问等事件的审核。
　　
　　为对象设置审核
　　当开启了“审核对象访问”后，我们可以选中某个需要审查的对象，然后打开其属性对话框中的“安全”选项卡。随后单击“高级”按钮，然后单击打开“审核”选项卡，如图2所示。
　　
　

　　随后单击其中的“添加”按钮，为这些用户的访问创建审核，选择好用户后即弹出如图3所示的访问控制设置对话框。通过选择审核的访问类型以后，单击“确定”按钮即完成设置的过程。
　　

　　除非是非常重要的东西才需要进行这样的审核，因为这样很可能在选择审核设置时把情况变得更加复杂和困难。事件日志中那么多的条目，往往会把真正重要的问题掩藏起来，甚至丢失了。因此，在决定审核哪些事件的时候一定要仔细，审核的对象要尽量少，而在确实有了必要的要求后再加入审核。
　　
　　浏览事件日志
　　事件查看器是用来专门查看事件日志的工具，通过它可以查看操作系统组件、服务及应用程序等所发生的事件信息。当有事件发生时，用户就可以打开事件查看器来查看被记录下来的事件信息。这样可以使系统管理员由这些记录的信息得知系统的状态、错误发生的原因、用户的使用状况等，以便及时地发现和解决问题。
　　但在查看“事件日志”时必须要很有规律性，这样才能看得出来事件是否产生了变化。要浏览安全日志，可以通过“管理工具”打开“事件查看器”，然后选择“安全日志”。