CMS教程
每日更新|TOP排行榜|Tag标签|充值
CMS教程模板无忧>建站教程>CMS教程>动易Cms教程>
收藏分享查看评论动易Cms教程

Windows 2000 审核和入侵检测(15)_动易Cms教程

编辑Tag赚U币
教程Tag:暂无Tag,欢迎添加,赚取U币!


使用 EventCombMT 的示例

为了显示如何使用 EventCombMT,我们将显示如何对该工具进行配置,从而检测域控制器的重新启动和帐户锁定。

• 使用 EventCombMT 搜索域控制器的重新启动

1.
在 EventCombMT 工具中,确保该域配置了正确的域名。

2.
在该域名下面的“Select to Search/Right Click to Add”(选择进行搜索/右键单击进行添加)框中,右键单击该框,然后单击“Get DCs in Domain”(获取域中的 DC)。

注重:搜索类似帐户登录和帐户治理这样的事件时,请确保搜索所有域控制器。因为 Windows 2000 的帐户治理使用多主机模型,所以可在域中的任何域控制器上添加、修改或删除帐户。同样,身份也可由域中的任意域控制器来验证。正因为如此,您不能准确确定在哪里发生了特定的更新或身份验证尝试。

3.
右键单击“Select to Search/Right Click to Add”(选择进行搜索/右键单击进行添加)框,然后单击“Select All Servers in List”(选择列表中的所有服务器)。

4.
在该工具搜索部分的“Choose Log Files”(选择日志文件)中,仅选择“System”(系统)日志。

5.
在该工具的“Event Types”(事件类型)部分,选择“Error and Informational”(错误和信息性)。

6.
在“Event IDs”(事件 ID)框中,键入下列事件 ID:1001 6005 6006 6008。

7.
单击“Search”(搜索)按钮前,确保搜索条件按照下图定义,然后单击“Search”(搜索)。


图 2
在 Event Comb MT 对话框中定义搜索条件



完成搜索时,可在日志目录中查看结果,该目录应在搜索完成时自动打开。

• 复查日志项

1.
从“File”(文件)菜单中,选择“Open Log Directory”(打开日志目录)。

2.
在 C:\Temp 文件夹中,双击一个域控制器的输出文件,查看 EventCombMT 工具记录的特定事件。您应看到类似下面的内容输出:

1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,,(1001,信息,保存转储,2001 年 11 月 28 日星期三 05:45:50)
The computer has rebooted from a bugcheck.(计算机已根据检测错误重新启动。)The bugcheck was:(检测错误是:)
0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc).
A dump was saved in: C:\WINDOWS\MEMORY.DMP.(转储保存在下列位置:C:\WINDOWS\MEMORY.DMP。)
6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,,(6005,信息,事件日志,2001 年 11 月 28 日星期三 05:45:46)
The Event log service was started.(事件日志服务已启动。)
6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,,(6008,错误,事件日志,2001 年 11 月 28 日星期三 05:45:46)
The previous system shutdown at 5:33:47 AM on 11/28/2001
was unexpected.(上一次系统在 2001 年 11 月 28 日星期三上午 5:33:47 意外关闭)。6005,INFORMATIONAL,EventLog,Tue Nov
27 14:10:53 2001,,The Event log service was started.(6005,信息,事件日志,2001 年 11 月 27 日星期二14:10:53,事件日志服务已启动。)
6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,,(6006,信息,事件日志,2001 年 11 月 27 日星期二 14:09:26)
The Event log service was stopped.(事件日志服务已停止。)6005,INFORMATIONAL,
EventLog,Tue Nov 27 10:11:37 2001,,The Event log service
was started.(6005,信息,事件日志,2001 年 11 月 27 日星期二 10:11:37,事件日志服务已启动。)




6006 事件表明一个有关闭域控制器权限的用户启动了一次计划关机。6005 事件表明事件日志服务已启动。此事件发生在启动时。

查看更多 动易Cms教程  动易Cms模板

共18页上一页1112131415161718下一页
来源:模板无忧//所属分类:动易Cms教程/更新时间:2005-03-30
[收藏][报错][返回列表]
相关动易Cms教程