如何将服务器审核事件写入安全日志
其他审核位置也受支持,但是更易被篡改。
将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求:
必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。
在 Windows Vista 和 Windows Server 2008 中,使用审核策略工具 (
auditpolexe
)。审核策略程序公开了
审核对象访问
类别中的多种子策略设置。若要允许 SQL Server 审核对象访问,请配置
应用程序生成的设置。
对于 Windows 的早期版本,审核策略工具不可用。请改用安全策略管理单元 (secpolmsc
)。如果可用,优先采用审核策略,因为可以配置更精细的设置。
SQL Server 服务正在其下运行的帐户必须拥有
生成安全审核
权限才能写入 Windows 安全日志。默认情况下,LOCAL SERVICE 和 NETWORK SERVICE 帐户拥有此权限。如果 SQL Server 正在其中一个帐户下运行,则不需要此步骤。
将 Windows 审核策略配置为写入 Windows 安全日志时,可能会影响 SQL Server 审核,此时若该审核策略配置不正确,就可能导致事件丢失。通常,将 Windows 安全日志设置为覆盖较旧的事件。这样可保留最新的事件。但如果 Windows 安全日志未设置为覆盖较旧的事件,则当安全日志已满时,系统将发出 Windows 事件 1104(日志已满)。此时:
不再记录其他安全事件
SQL Server 将无法检测系统是否能够在安全日志中记录事件,从而导致可能丢失审核事件
Box 管理员修复安全日志后,日志记录行为将恢复正常。
SQL Server 计算机的管理员应了解安全日志的本地设置可能会被域策略覆盖。在这种情况下,域策略可能覆盖子类别设置 (
auditpol /get /subcategory:"application generated"
)。这可能会影响 SQL Server 在无法检测 SQL Server 尝试审核的事件是否将不被记录的情况下记录事件的能力。
这些日志信息对计算机犯罪调查人员非常有用。
所谓日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成.每条日志记录描述了一次单独的系统事件。通常情况下,系统日志
是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途:监控系统资源,审汁用户行为,对可疑行为进行报警,确定入侵行为的范围,为恢复系统提供帮助,生成调查报告,为打击计算机犯罪提供证据来源。
在windows操作系统中有一位系统运行状况的忠实记录者,它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件,它就是“事件查看器”。用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序运行中的错误或警告事件记录下来,便于诊断和纠正系统发生的错误和问题。
可以双击“控制面板”中“管理工具”中的“事件查看器”,打开事件查看器窗口
你好,查看服务器日志以Linux举例的话可通过以下方式查看:
1进入日志文件所在的文件目录,比如:cd /opt/tomcat7/logs
2通过命令打开日志,分析需求场景打开需要的日志。比如:tail -f catalinaout
3常用命令一:tail比如:tail -f testlog (循环查看文件内容)
4按照行号查询:cat(过滤出关键字附近的日志)cat -n testlog |grep "订单号" 然后使用 head -n 20 查看查询结果里的向前20条记录。
5按照时间日期查询,(查询出一段时间内的记录)sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' testlog
0条评论