Windows 2000 审核和入侵检测(16)_动易Cms教程

6008 和 1001 事件表明该计算机在没有关机的情况下被切断电源，或因为被锁定而重新启动，或碰到了一个停止错误。假如存在 1001 事件，说明发生了一个停止错误，其中包含相关的调试信息和对该调试文件的引用。

EventCombMT 工具返回的这些事件应使用已知的宕机时间进行交叉检查，不匹配的事件应加以研究，以确保该服务器没有被攻击。

EventCombMT 包括几个预先配置的搜索，可用于搜索安全事件。例如，有一个预定义的搜索可搜索帐户锁定事件。

• 使用 EventCombMT 搜索帐户锁定

1.
在 EventCombMT 工具中，确保该域配置了正确的域名。

2.
在该域名下面的“Select to Search/Right Click to Add”（选择进行搜索/右键单击进行添加）框中，右键单击该框，然后单击“Get DCs in Domain”（获取域中的 DC）。

3.
右键单击“Select to Search/Right Click to Add”（选择进行搜索/右键单击进行添加）框，然后单击“Select All Servers in List”（选择列表中的所有服务器）。

4.
从“Searches”（搜索）菜单中，单击“Built In Searches”（内置搜索），然后单击“Account Lockouts”（帐户锁定）。EventCombMT 实用程序的配置方式如下图所示：

5.
单击“Search”（搜索）。

6.
完成搜索时，可在日志目录中查看结果，该目录应在搜索完成时自动打开。



注重：包括在 EventcombMT 中的其他预定义搜索分别是文件复制服务搜索、Active Directory 搜索，寻找是否有重复 SID 和 NETLOGON DNS 注册失败、硬盘错误以及 DNS 接口错误。您还可以定义和保存自定义的搜索。

Contoso 在尝试诊断问题或在事件响应过程中确定问题原因时，会使用 EventCombMT。另外，Contoso 还定期检查所有域控制器上是否存在帐户锁定或错误密码。这样的操作有助于手动识别监视系统可能不能检测的任何希奇模式。

事件收集
审核的主要目标之一是识别攻击者在网络上采取的操作。攻击者可能尝试破坏网络上的多个计算机和设备。因此，要了解任何攻击的程度，必须能整理和合并来自很多计算机的信息。

假如日志实用程序将导入数据库中，整理来自多个日志的信息较为简单。只要所有计算机上的时间同步，就可以根据时间字段进行排序，这就使根据时间间隔进行跟踪事件变得非常简单。

下面几节内容简要讲述了一些工具和实用程序，可使用这些工具和实用程序将事件日志信息收集到一个中心位置。

脚本

可以编写一些脚本来从多个远程计算机收集事件日志信息，并将这些信息存储在一个集中的位置。通过使用脚本，可选择何时使用“任务计划”运行脚本，一次采取什么操作即可将事件日志成功复制到集中的位置。

一个简单的示例为，创建一个使用“Windows 2000 Server Resource Kit”中的 Dumpel.exe 的批处理文件，然后通过“控制面板”中的“任务计划”定期启动该批处理文件。

“Windows 2000 Resource Kit, Supplement One”中包括 Eventquery.pl。这是一个 Perl 脚本，可显示运行 Windows 2000 的本地计算机和远程计算机上的“事件查看器”中的事件，并提供了很多筛选器，可帮助您查找特定的事件。

注重：要使用这个脚本，需安装“Windows 2000 Server Resource Kit”中的 ActivePerl。

Contoso 当前不使用事件收集解决方案。但预期会使用 Microsoft Audit Collection System (MACS)，该系统将在第二年发布。MACS 是一种安全事件收集工具，它利用压缩、签名和加密的安全方式收集事件。收集事件之后，这些事件将加载到 SQL 数据库中，并进行优化以供分析。

Microsoft Operations Manager

Microsoft Operations Manager (MOM) 2000 是一种高级工具集，使企业能完整分析 Windows 2000 及其应用程序的内置事件报告和性能监视。MOM 2000 使用远程计算机上的 Intelligent Agent 将事件和性能数据收集、存储并报告到单独的位置，使治理员可集中复查收集的信息。

查看更多 动易Cms教程  动易Cms模板