Windows 2000 审核和入侵检测(14)_动易Cms教程

1.
在 EventCombMT 实用程序中，确保域框中自动检测到正确的域。假如想搜索另一域中的事件日志，应在“Domain”（域）框中手动键入这个新的域名。

2.
要将计算机添加到搜索列表中，右键单击“Select To Search/Right Click to Add”（选择进行搜索/右键单击进行添加）下面的框。弹出菜单如下图所示：


图 1
使用 EventCombMT 对话框设置添加未自动检测到搜索列表中的计算机

可以使用下列选项：

• “Get DCs in Domain”（获取域中的 DC），将当前域的所有域控制器添加到该列表。

• “Add Single Server”（添加一个服务器），答应以名称的形式将服务器或工作站添加到该列表。

• “Add all GCs in this domain”（添加此域中的所有 GC），答应您添加配置为全局编录服务器的选定域中的所有域控制器。

• “Get All Servers”（获取所有服务器），添加使用浏览器服务在该域中找到的所有服务器。这些服务器不包括所有域控制器。

• “Get Servers from File”（从文件获取服务器），答应导入一个列出所有服务器的文件，并将它们包括在搜索范围中。在该文本文件中，每个服务器都应输入到一个单独的行中。


3.
一旦将服务器添加到列表中，必须选择针对哪些服务器执行搜索。选择之后，该服务器在该列表中将突出显示。可以在按住 Ctrl 键的同时点击，以选择多个服务器。



指定要搜索的事件日志和事件类型

一旦选择了要包括在事件日志搜索中的服务器，可以通过选择包括哪些事件日志和事件类型类缩小搜索范围了。

在 EventCombMT 实用程序中，可从下列事件日志中选择用于搜索的日志：

• System（系统）

• Application（应用程序）

• Security（安全）

• FRS（文件复制服务日志）

• DNS（DNS 服务器日志）

• AD（目录服务日志）


您还可以选择在搜索中包括下列事件类型：

• Error（错误），此事件在应用程序日志和系统日志中记录，还会出现在 FRS、DNS 和目录服务日志中。

• Informational（信息），此事件在应用程序日志和系统日志中记录，还会出现在 FRS、DNS 和目录服务日志中。

• Warning（警告），此事件在应用程序日志和系统日志中记录，还会出现在 FRS、DNS 和目录服务日志中。

• Success Audit（成功审核），此事件会发生在安全日志中，假如应用程序已将成功审核注册到应用程序日志中，此事件还会发生在应用程序日志中。例如，Active Directory 迁移工具 (ADMT) 会将成功审核事件记录到应用程序日志中。

• Failure Audit（失败审核），此事件会发生在安全日志中，假如应用程序已将失败审核注册到应用程序日志中，此事件还会发生在应用程序日志中。例如，ADMT 会将失败审核记录到应用程序日志中。

• Success（成功），此事件很少发生，出现在应用程序日志或系统日志中，也会出现在 FRS、DNS 和目录服务日志中。在事件查看器中，成功事件显示为信息性事件类型。


注重：假如了解事件日志具体包括哪个事件 ID，以及事件 ID 的事件类型，请始终将该信息包括在搜索条件中，因为这可缩短搜索时间。

保存搜索

EventCombMT 答应您保存搜索，并在日后重新加载这些搜索。假如常用 EventCombMT 在 IIS 服务器中搜索一组事件，在域控制器中搜索另一组事件，则保存搜索非常有用。

搜索条件保存在注册表的下列内容中：

HKLM\Software\Microsoft\EventCombMT ，您可轻松编辑。

搜索结果文件

搜索结果在默认情况下保存在 C:\Temp 文件夹中。这些结果包括一个名为 EventCombMT.txt 的摘要文件。事件日志搜索中包括的每个计算机都会生成一个名为 ComputerName-EventLogName_LOG.txt 的单独文本文件。这些单独文本文件包含从符合搜索条件的事件日志中抽取的所有事件。

查看更多 动易Cms教程  动易Cms模板