Windows 2000 审核和入侵检测(13)_动易Cms教程

Dumpel.exe 工具使用的语法如下：

dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3...][-r] [-t]
[-d x]

其中：

• -f file：指定输出文件的文件名。-f 没有默认设置，因此必须指定文件。

• -s server：指定想为其转储事件日志的服务器。服务器名称前面的前导反斜杠是可选的。

• -l log：指定转储哪个日志（系统日志、应用程序日志、安全日志）。假如指定的日志名称无效，则转储应用程序日志。

• -m source：指定转储记录的源（如重定向器 (rdr)、串行等）。只可提供一个源。假如不使用此参数，则转储所有事件。假如使用的源未在注册表中进行注册，则会搜索应用程序日志查找这种类型的记录。

• -e n1 n2 n3：用于事件 ID nn （最多可指定 10 个）的筛选器。假如未使用 -r 参数，则只会转储这些类型的记录，假如使用 -r ，则会转储除这些类型之外的所有记录。假如未使用此参数，则会选择来自指定 sourcename 的所有事件。假如没有 -m 参数，则不能使用此参数。

• -r：指定是筛选这些特定的源或记录，还是将它们筛掉。

• -t：指定由 Tab 符号分隔的各个字符串。假如不使用 -t，则用空格分隔字符串。

• -d x：转储过去 x 天的事件。


注重：Dumpel 只能从系统日志、应用程序日志和安全日志文件中检索内容。您不能使用 Dumpel 查询文件复制服务、域名系统 (DNS) 或者目录服务事件日志中的内容。

EventCombMT
EventCombMT 是一种多线程工具，该工具会同时分析来自很多服务器的事件日志，同时为搜索条件中的每个服务器产生一个单独的执行线程。EventCombMT 包括在“Microsoft Windows Server 2003 Resource Kit Tools”中，有关具体信息，请参考：

http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx（英文）。

此工具使您能够：

• 定义一个或多个要搜索的事件 ID。
可以包括一个事件 ID，也可以包括用空格分隔的多个事件 ID。

• 定义要搜索的事件 ID 范围。
包括端点。例如，假如想搜索事件 ID 528 和事件 ID 540 之间的所有事件，并包括这两个事件 ID，则应将范围指定为 528 > ID < 540。此功能非常有用，因为大多数写入事件日志的应用程序都使用一个连续的事件范围。

• 将搜索限制为特定的事件日志。
您可以选择搜索系统日志、应用程序日志和安全日志。假如在域控制器本地执行，还可以选择搜索 FRS 日志、DNS 日志和 AD 日志。

• 将搜索限制为特定的事件消息类型。
您可以选择限制为搜索错误、信息性、警告、成功审核、失败审核或者成功事件。

• 将搜索限制为特定的事件来源。
您可以选择将搜索限制为来自特定事件来源的事件。

• 在事件说明中搜索特定的文本。
对于每个事件，可以搜索特定的文本。假如正在尝试跟踪特定的用户或组，则这非常有用。

注重：您不能在特定的文本中包括搜索逻辑，如 AND、OR 或 NOT。另外，不要使用引号来分隔文本。

• 定义从当前的日期和时间向后进行扫描的特定时间间隔。
这答应您将搜索限制为过去几周、几天或者几个月的事件。


安装工具

要安装工具，请将本指南包括的自解压 SecWin2k.exe 文件中的内容进行解压缩。这将创建一个 C:\SCI\scripts\EventComb 文件夹。一旦解压缩这些文件，可以通过双击 EventCombMT.exe 文件来运行 EventCombMT 工具。

运行 EventComb 工具

使用 EventComb 工具的第一步是定义哪些计算机将包括在事件日志搜索中。

• 将计算机添加到搜索中

查看更多 动易Cms教程  动易Cms模板