巧用事件檢視器維護伺服器安全

陳小兵

事件檢視器相當於作業系統的保健醫生，一些「頑疾」的蛛絲馬跡都會在事件檢視器中呈現，乙個合格的系統管理員和安全維護人員會定期檢視應用程式、安全性和系統日誌，檢視是否存在非法登入、系統是否非正常關機、程式執行錯誤等資訊，通過檢視事件屬性來判定錯誤產生的**和解決方法，使作業系統和應用程式正常工作。本文介紹了事件檢視器的一些相關知識，最後給出了乙個安全維護例項，對安全維護人員維護系統有一定的借鑑和參考。

事件檢視器是

microsoft windows

作業系統工具，事件檢視器相當於一本厚厚的系統日誌，可以檢視關於硬體、軟體和系統問題的資訊，也可以監視

windows

作業系統中的安全事件。有三種方式來開啟事件檢視器：

（1）單擊「開始」－「設定」－「控制面板」－「管理工具」－「事件檢視器」，開事件檢視器視窗

（2）在「執行」對話方塊中手工鍵入「％

systemroot

％＼system32

＼eventvwr

．msc /s

」開啟事件檢視器視窗。

（3）在執行中直接輸入「

eventvwr

」或者「

eventvwr.msc

」直接開啟事件檢視器。

在事件檢視器中一共記錄三種型別的日誌，即：（

1）應用程式日誌

包含由應用程式或系統程式記錄的事件，主要記錄程式執行方面的事件，例如資料庫程式可以在應用程式日誌中記錄檔案錯誤，程式開發人員可以自行決定監視哪些事件。如果某個應用程式出現崩潰情況，那麼我們可以從程式事件日誌中找到相應的記錄，也許會有助於你解決問題。

（2）安全性日誌

記錄了諸如有效和無效的登入嘗試等事件，以及與資源使用相關的事件，例如建立、開啟或刪除檔案或其他物件，系統管理員可以指定在安全性日誌中記錄什麼事件。預設設定下，安全性日誌是關閉的，管理員可以使用組策略來啟動安全性日誌，或者在登錄檔中設定審核策略，以便當安全性日誌滿後使系統停止響應。

（3）系統日誌

包含windows xp

的系統元件記錄的事件，例如在啟動過程中載入驅動程式或其他系統元件失敗將記錄在系統日誌中，預設情況下

windows

會將系統事件記錄到系統日誌之中。

如果計算機被配置為域控制器，那麼還將包括目錄服務日誌、檔案復**務日誌；如果機子被配置為網域名稱系統（

dns）伺服器，那麼還將記錄

dns伺服器日誌。當啟動

windows

時，「事件日誌」服務

(eventlog)

會自動啟動，所有使用者都可以檢視應用程式和系統日誌，但只有管理員才能訪問安全性日誌。

在事件檢視器中主要記錄五種事件，事件檢視器螢幕左側的圖示描述了

windows

作業系統對事件的分類。事件檢視器顯示如下型別的事件：（

1）錯誤：重大問題，例如資料丟失或功能損失。例如，如果服務在啟動期間無法載入，便會記錄乙個錯誤。（

2）警告：不一定重要的事件也能指出潛在的問題。例如，如果磁碟空間低，便會記錄乙個警告。

（3）資訊：描述應用程式、驅動程式或服務是否操作成功的事件。例如，如果網路驅動程式成功載入，便會記錄乙個資訊事件。

（4

（5在「執行」中輸入「

eventvwr.msc

」直接開啟事件檢視器，在該視窗中單擊「系統」，如圖

1所示，單擊視窗右邊的型別進行排序，可以看到型別中有警告、錯誤等多條資訊。

1 開啟並檢視系統日誌

選擇「錯誤」記錄，雙擊即可開啟並檢視事件的屬性，如圖

2所示，可以發現該事件為乙個攻擊事件，其事件描述為：

連線自

211.99.226.9

的乙個匿名會話嘗試在此計算機上開啟乙個

lsa

策略控制代碼。嘗試被以

status_access_denied

拒絕，

以防止將安全敏感的資訊洩露給匿名呼叫者。

作為暫時的解決辦法，此安全措施可以通過設定：

\hkey_local_machine\system\currentcontrolset\control\lsa\turnoffanonymousblock dword

值為

來禁用。

此訊息將一天最多記錄一次。

2 檢視系統錯誤事件屬性

說明：該描述資訊表明ip位址為「211.99.226.9」

的計算機在攻擊此伺服器。

根據描述資訊，直接開啟登錄檔編輯器，依次層層展開找到鍵值「

hkey_local_machine\system\currentcontrolset\control\lsa\turnoffanonymous

」新建乙個

dword 的「

turnoffanonymousblock block dword

」鍵，並設定其值為「

1」，如圖

3所示。

圖3修復系統存在的安全隱患

說明：如果在事件屬性中未給出解決方案，除了在

google

中尋找解決方法外，還可以對錯誤資訊進行追蹤，以找到合適的解決方法，一般有兩種方式：

（1）微軟知識庫。微軟知識庫的文章是由微軟公司官方資料和微軟

mvp撰寫的技術文章組成，主要解決微軟產品的問題及故障。當微軟每乙個產品的

bug和容易出錯的應用點被發現後，都將有與其對應的

kb:，在網頁左邊的「搜尋

(知識庫

)」中輸入相關的關鍵字進行查詢，事件發生源和id

（2）通過eventid.net

**來查詢

要查詢系統錯誤事件的解決方案，其實還有乙個更好的地方，那就是

eventid.net

**位址是

:。這個**由眾多微軟

mvp(

最有價值專家

)主持，幾乎包含了全部系統事件的解決方案。登入**後，單擊「

search events(

搜尋事件

)」鏈結，出現事件搜尋頁面。根據頁面提示，輸入

event id(

事件id)

和event source(

事件源)

，並單擊「

」按鈕。

eventid.net

的系統會找到所有相關的資源及解決方案。最重要的是，享受這些解決方案是完全免費的。當然，

eventid.net

的付費使用者則能享受到更好的服務，比如直接訪問針對某事件的知識庫文章集等。

既然出現了

lsa的匿名列舉，那麼一定會存在登入資訊，如圖

4所示，單擊「安全性」檢視事件屬性，先針對「審核失敗」進行檢視，可以看到

ip位址「

211.99.226.9」

的多次連線失敗的審核資訊。需要特別注意的是，事件檢視器中記錄的日誌必須先在安全策略中進行設定，預設情況下不記錄，只要啟用審核以後才記錄。然後依次檢視審核成功的登入記錄，如果發現該

ip位址登入成功，那麼還需要對系統進行徹底的安全檢查，包括修改登入密碼，檢視系統時候被攻擊者留下了後門。在本例中主要事件就是

ip位址為

211.99.226.9

的伺服器在進行密碼攻擊掃瞄，根據事件屬性中提供的策略進行設定後，即可解決該匿名列舉的安全隱患。

巧用事件檢視器維護伺服器安全

mysql事件檢視器 MYSQL事件檢視器使用介紹

伺服器安全維護

伺服器安全維護

巧用事件檢視器維護伺服器安全

mysql事件檢視器 MYSQL事件檢視器使用介紹

伺服器安全維護

伺服器安全維護

相關推薦