如何将服务器审核事件写入安全日志

其他审核位置也受支持，但是更易被篡改。

将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求：

必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。

在 Windows Vista 和 Windows Server 2008 中，使用审核策略工具 (

auditpolexe

)。审核策略程序公开了

审核对象访问

类别中的多种子策略设置。若要允许 SQL Server 审核对象访问，请配置

应用程序生成的设置。

对于 Windows 的早期版本，审核策略工具不可用。请改用安全策略管理单元 (secpolmsc

)。如果可用，优先采用审核策略，因为可以配置更精细的设置。

SQL Server 服务正在其下运行的帐户必须拥有

生成安全审核

权限才能写入 Windows 安全日志。默认情况下，LOCAL SERVICE 和 NETWORK SERVICE 帐户拥有此权限。如果 SQL Server 正在其中一个帐户下运行，则不需要此步骤。

将 Windows 审核策略配置为写入 Windows 安全日志时，可能会影响 SQL Server 审核，此时若该审核策略配置不正确，就可能导致事件丢失。通常，将 Windows 安全日志设置为覆盖较旧的事件。这样可保留最新的事件。但如果 Windows 安全日志未设置为覆盖较旧的事件，则当安全日志已满时，系统将发出 Windows 事件 1104（日志已满）。此时：

不再记录其他安全事件

SQL Server 将无法检测系统是否能够在安全日志中记录事件，从而导致可能丢失审核事件

Box 管理员修复安全日志后，日志记录行为将恢复正常。

SQL Server 计算机的管理员应了解安全日志的本地设置可能会被域策略覆盖。在这种情况下，域策略可能覆盖子类别设置 (

auditpol /get /subcategory:"application generated"

)。这可能会影响 SQL Server 在无法检测 SQL Server 尝试审核的事件是否将不被记录的情况下记录事件的能力。

　系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。下面是我收集的如何查看电脑里的系统日志，希望对您有帮助。

　查看系统日志方法:开始→设置→控制面板→管理工具 中找到的“事件查看器”，

　或者在开始→运行→输入 eventvwrmsc 也可以直接进入“事件查看器”

　在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件，在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。

　具体信息

　本段例如可以利用eventlog事件来查看计算机开关机的记录：

　在事件查看器窗口，在左侧的窗格当中选择系统选项，单击右键属性菜单项

　之后在弹出来的属性对话框当中切换到筛选选项卡，在事件来源下拉列表框中找到“evenlog之后确定，此时就可以看见该事件的'日志信息了!

　其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况(开关机)。

　6005 信息 EventLog 事件日志服务已启动。(开机)

　6006 信息 EventLog 事件日志服务已停止。(关机)

　6009 信息 EventLog 按ctrl、alt、键(非正常)关机

　如何查看系统日志(以windows2003server为例)

　查看Windows2003系统日志的办法

　Windows日志文件记录着Windows系统运行的每一个细节， 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志，管理员可以及时找出服务器出现故障的原因。

　一般情况下，网管都是在本地查看日志记录，由于目前的局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管

　就很难及时了解到服务器系统的运行状况，维护工作便会受到影响。现在，利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题，让网管能够远程查看Windows 2003服务器的日志记录。

　远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用Windows 98/2000/XP/2003系统)，运行IE浏览器， 在地址栏中输入“https://Win2003服务器IP地址:8098”，如“https://19216801:8098”。在弹出的登录对话框中输入管理员的用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。

　在日志管理页面中可列出Windows 2003服务器的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。

　查看某类日志记录非常简单，笔者以查看Web管理志为例，点击“Web管理日志”链接，进入日志查看页面，在日志文件列表框中选中要查

　看的日志文件，然后点击右侧的“查看日志”按钮，就能浏览Web管理日志记录中的详细内容了。

　清除某个日志文件也很简单，选中该日志文件后，点击“清除”按钮即可。如果你觉得远程查看日志不方便，想在本 地机器中进行查看，这时你 可以将日志文件下载到本地硬盘。选中某个日志文件，然后点击“下载日志”按钮，在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。

概述

本文介绍Windows、Linux服务器查询系统的远程登录日志方法。

根据服务器所使用的操作系统不同，有以下两种查询方法。

Linux操作系统的登录日志查询

通过远程连接登录Linux服务器，使用root用户执行last命令，系统会列出最近的登录记录。

注：last命令各输出列作用及含义。

· 第一列：用户名。

· 第二列：终端位置。pts/0 （伪终端）指 ssh命令或telnet命令远程连接用户，tty指本地连接用户。

· 第三列：登录IP或者内核 。00或无内容，表示用户从本地终端连接。除重启操作，内核版本会显示在状态中。

· 第四列：开始时间。

· 第五列：结束时间（still logged in 状态：用户未退出，down 状态：直到正常关机，crash 状态：直到强制关机）。

· 第六列：持续时间。

Windows操作系统的登录日志查询

1、通过远程连接登录Windows服务器，单击 开始 > 运行（快捷键：win+R），输入eventvwrmsc并单击键盘的 Enter 回车按键，打开 事件查看器。

2、单击 Windows 日志，选中 安全 并右击，单击 查找，打开 查找 框。

3、在 查找内容（N） 处，输入“登录” 进行快速查找登录相关事件。

4、双击查找到的事件，单击 详细信息，查看 IpAddress 字段和 IpPort 字段信息。

注：

· IpAddress 字段记录的是登录过本机的IP地址。

· IpPort 字段记录的是登录过本机的端口

　　这些日志信息对计算机犯罪调查人员非常有用。

所谓日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成．每条日志记录描述了一次单独的系统事件。通常情况下，系统日志

是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途：监控系统资源，审汁用户行为，对可疑行为进行报警，确定入侵行为的范围，为恢复系统提供帮助，生成调查报告，为打击计算机犯罪提供证据来源。

在windows操作系统中有一位系统运行状况的忠实记录者，它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件，它就是“事件查看器”。用户可以利用这个系统维护工具，收集有关硬件、软件、系统问题方面的信息，并监视系统安全事件，将系统和其他应用程序运行中的错误或警告事件记录下来，便于诊断和纠正系统发生的错误和问题。

可以双击“控制面板”中“管理工具”中的“事件查看器”，打开事件查看器窗口

Windows日志文件默认位置是“%systemroot%\system32\config

安全日志文件：%systemroot%\system32\config \SecEventEVT

系统日志文件：%systemroot%\system32\config \SysEventEVT

应用程序日志文件：%systemroot%\system32\config \AppEventEVT

FTP连接日志和HTTPD事务日志：%systemroot% \system32\LogFiles\

如何查看日志文件

在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。

材料/工具：win10

1、打开win10电脑右键win10桌面左下角的开始菜单，然后在点击弹出菜单里的运行

2、在打开的运行对话框里，输入msconfig然后点击确定

3、在打开的win10系统配置对话框里，直接点击工具选项卡

4、先选中事件查看器，然后在点击右下角的启动

5、打开事件查看器，然后点击Windows日志展开子菜单

6、在点击子菜单里的系统选项，然后在点击右侧的清除日志

7、点击清除后，弹出一个清除日志对话框直接点击清除按钮 。