none
关于Event Logging & Monitorin审计问题 RRS feed

  • Question

  • 我们公司要做审计,让我做一个计划关于server 端 Event log的规划.但是小弟确实这方面没啥经验.对EVENT LOG 到底怎么进入,哪一块管哪一快,什么期限检查,出了什么LOG如何解决等等的方案.
    请问有没有这方面的案例或者完整的规划表,能够让我借鉴一下.
    Monday, 27 July 2009 4:12 AM

Answers

  • 您好!       

     

    您以使用事件查看器管理事件日志的各个方面。为此,通常可以执行下列步骤:导航到要管理的事件日志并将其选中,右键单击并选择属性以访问其属性对话框,然后更新适当的值。

     

    管理事件日志

    http://technet.microsoft.com/zh-cn/library/cc766178(WS.10).aspx

     

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。

     

    Tom Zhang 张一平


    Tom Zhang – MSFT
    Monday, 27 July 2009 10:58 AM
    Moderator

All replies

  • 您好!       

     

    您以使用事件查看器管理事件日志的各个方面。为此,通常可以执行下列步骤:导航到要管理的事件日志并将其选中,右键单击并选择属性以访问其属性对话框,然后更新适当的值。

     

    管理事件日志

    http://technet.microsoft.com/zh-cn/library/cc766178(WS.10).aspx

     

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。

     

    Tom Zhang 张一平


    Tom Zhang – MSFT
    Monday, 27 July 2009 10:58 AM
    Moderator
  • 十分感谢您的回复, 有几个方面还想详细点问一下,麻烦您了.
    a) definitions of the potential IT security events to log and monitor and the action to be taken in respect of each event;
    b) allocation of roles and responsibilities for security event log monitoring and security incident response;
    c) scheduling of log reviews;
    d) identification of the events that warrant immediate alerts;
    e) parameters for the size of the log files;
     f) retention periods for log files;
    g) evidential requirements for log review.
    以上是几个要求,您能分别根据每个要求帮我分析一下,并且解释下吗,十分感谢您的帮助!
    Tuesday, 28 July 2009 7:14 AM
  • 您好!  

     

    根据您提供的信息来看,这需要您根据自己的日志文件给出相应的数据,我们难以直接告诉您具体的信息。

     

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。

     

    Tom Zhang 张一平


    Tom Zhang – MSFT
    Friday, 31 July 2009 9:55 AM
    Moderator
  • 一般来说,应用系统的安全性审计主要是检查对于应用系统的操作是否被记录及稽查,可以有2种方法:
    1.服务器安装监控软件,记录所有操作。但是应用系统的性能可能受到很大影响,同时增加成本。
    2.将服务器的特权账户细分,尽量不允许使用超级用户,可以通过建立不同的账户赋予不同的权限,日常工作需要使用超级用户的最好使用自动脚本程序,
       另外对于超级用户的补充控制可以通过经过管理层授权,记录相关操作,完成后提交作业报告及管理层复核。
    超级用户的密码应该不允许多人掌握密码,可以通过密码分开(每人掌握一部分),也可以通过密码密封交管理层保管(以备密码掌握者不在时急需)。

    通常一些应用系统并没有记录业务用户登录登出的时间,只能通过服务器的安全日志来判定用户登录登出时间,可对于非法访问做一些定义,例如连续5次
    非法登录,或者非工作时间连续三次登录失败,每月对于安全日志进行分析。
    对于安全日志的分析,可以采用POWERSHELL脚本每天自动导出安全日志(以日志形式保存),每月自动导出登录失败的安全日志记录(最好以邮件发送),
    这样比较确定日志的审核是没有经过篡改的,这些都可以在相应的IT控制中进行定义说明。
    日志文件的复核通常只能每月一次,日志最好能记录90天,如果太大,建议也要40天左右。日志的保存记录至少一年,要看公司的要求。
    审核最好是管理员和IT经理之外的第三者,相关审核制度及文书都要保留。
    Wednesday, 12 August 2009 4:20 AM