脚本之家 服务器常用软件
快捷导航
您的位置:主页 > 操作系统 > Windows系列 > win2008 >

Windows Server 2008中审核和符合性

互联网   发布时间:2009-07-02 01:51:08   作者: 我要评论
  在信息技术世界里,变更是永恒的。如果您的 IT 组织与大多数其他 组织并无二致,那么了解在您的环境中所发生的变更就会成为您不得不面对的压力,而且这种压力与日俱增。IT 环境的复杂性和规模不断变大,由于管理错误和意外数据泄漏所带来的影响也越来越严重。当今的社

  

  图 4 “目录服务变更”事件前后

  如果创建了一个新对象,则在对象创建时所填充的属性值将被记录下来。如果在域内移动对象,则以前的位置和新位置(以可分辨名称的形式)将被记录下来。在设置了相应的“审核策略”后,默认会启用“old and new”(旧与新)功能。如果您希望将某个属性保持专有,如雇员 ID 号的变更,可通过对架构进行简单的修改来明确排除这些属性。如果在架构中将该属性的 searchFlags 属性改为 0x100(值 256 -NEVER_AUDIT_VALUE),如图 5 所示,则当该属性发生变更时,“目录服务变更”事件不会发生。

  

  图 5 从目录服务变更中排除属性

  最后,Windows Eventing 6.0 中一个非常不错的新功能是“Event Subscriptions”(事件订阅)。正如先前所述,访问和查看事件日志是一项非常重要的系统管理任务。新的“事件订阅”功能提供了一种方法,可在系统之间直接转发事件。“事件订阅”由收集事件的“事件收集器”和被配置为向指定主机转发事件的“事件源”组成。消耗事件的能力由 Windows Event Collector 服务(Windows Eventing 6.0 的新功能)提供,而订阅功能则被内置在 Windows Event Log 服务中。用户可以配置一个收集器,从各种事件源中收集事件,这里所说的事件源可以是 Windows Server 2008 或 Windows 系统。

  从事件源收集的所有数据都驻留在离散的名为 Forwarded Events (ForwardedEvents.evtx) 的事件日志中,并由收集器上的 Event Log 服务进行管理。对两个端点(收集器和源)的配置都是必不可少的,此操作可以自动进行(源上为 winrm quickconfig –q;收集器上为 wecutil qc /q)。要特别注意的是,此事件订阅功能不是为企业设计的,也不是要将事件提供给外部数据库的替换系统。

  为了说明如何使用此功能,让我们假定有一个小 Web 场。您有一小组与特定网站(包括 Web 服务器和 SQL 服务器)关联的系统。这些系统可使用新的“事件订阅”功能,将其安全事件日志信息合并到单个系统中。环境规模越大,通常需要的事件日志合并工具集也越高级。

上一页 1 2 3 4 5 67 下一页 阅读全文

相关文章

最新评论

关注微信公众号

扫一扫