4.5 Windows Server 2003系統日志和事件

在一個完整的信息系統里面，日志系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為，并按照某種規范表達出來。我們可以使用日志系統所記錄的信息為系統進行排錯，優化系統的性能，或者根據這些信息調整系統的行為。在安全領域，日志系統的重要地位尤甚，可以說是安全審計方面最主要的工具之一。

4.5.1 系統日志設置

1. Windows Server 2003系統日志概述

按照系統類型進行區分的話，日志系統可以分為操作系統日志、應用系統日志、安全系統日志等等。每種操作系統的日志都有其自身特有的設計和規范，例如Windows系統的日志通常按照其慣有的應用程序、安全和系統這樣的分類方式進行存儲，而類似Linux這樣的各種UNIX系統通常都使用兼容Syslog規范的日志系統。

而很多硬件設備的操作系統也具有獨立的日志功能，以Cisco路由器為代表的網絡設備通常都具有輸出Syslog兼容日志的能力。應用系統日志主要包括各種應用程序服務器（例如Web服務器、FTP服務器）的日志系統和應用程序自身的日志系統，不同的應用系統都具有根據其自身要求設計的日志系統。安全系統日志從狹義上講指信息安全方面設備或軟件如防火墻系統的日志，從更廣泛的意義上來說，所有為了安全目的所產生的日志都可歸入此類。

Windows Server 2003系統啟動時“系統日志”也會自動運行。事件日志概述默認情況下，運行Windows Server 2003家族操作系統的計算機以三種類型的日志記錄事件。

● 應用程序日志

應用程序日志包含由應用程序或系統程序記錄的事件。例如，數據庫程序可在應用程序日志中記錄文件錯誤。應用程序開發人員決定記錄哪些事件。

● 安全日志

安全日志記錄諸如有效和無效的登錄嘗試等事件，以及記錄與資源使用相關的事件，如創建、打開或刪除文件或其他對象。例如，如果您已啟用登錄審核，登錄系統的嘗試將記錄在安全日志中。

● 系統日志

系統日志包含Windows系統組件記錄的事件。例如，在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中。服務器預先確定由系統組件記錄的事件類型。

運行Windows Server 2003家族操作系統且配置為域控制器的計算機以另外兩種日志記錄事件。

● 目錄服務日志

目錄服務日志包含Windows Active Directory服務記錄的事件。例如，在目錄服務日志中記錄服務器和全局編錄間的連接問題。

● 文件復制服務日志

“文件復制”服務日志包含Windows文件復制服務記錄的事件。例如，在文件復制日志中，記錄著文件復制失敗和域控制器（利用關于系統卷更改的信息）更新時發生的事件。

運行Windows并配置為域名系統（DNS）服務器的計算機在其他日志中記錄事件。

● DNS服務器日志

DNS服務器日志包含Windows DNS服務記錄的日志。

根據所安裝服務的情況，計算機可能會提供其他類型的事件和事件日志。

當啟動Windows時，“事件日志”服務自動啟動。

既然系統日志有如此重要的作用，如何妥善保存這些日志記錄就成為管理員日常維護的一項重要工作。默認狀態下，系統日志的存儲空間、保存方法、保存日期都是有一定限制的，如果系統事件較多，時間長了很可能會造成存儲溢出，即導致部分事件記錄被自動清除。因此，通常情況下需要對系統日志進行如下設置。

2. 設置系統日志選項

在“事件查看器”控制臺中右擊需要配置選項的日志類型，如“系統”事件日志，顯示如圖4-78所示的“系統 屬性”對話框。

● 顯示名稱：當前事件日志在“事件查看器”窗口中顯示的名稱，如果需要區別于其他同類事件日志，在這里可以對其進行重命名。修改“顯示名稱”并不會影響到其包含的任何事件日志。

● 日志大小 當前事件日志在計算機磁盤中被分配的磁盤空間，可以根據服務器類型判斷日至文件的大小，從而設定合適的空間上限，建議設置較大的空間上限，以免由于磁盤空間不足而自動刪除未經保存的陳舊事件日志。Windows Server 2003 R2家族操作系統默認的系統日志最大值為16 MB，用戶可以根據自己的實際情況適當修改此上限值，最大不可超過4 GB。

● 達到日志大小上限時：當達到日志大小上限時系統將按照默認或預先設定的動作執行，系統默認的是“按需要覆蓋事件”。當然也可以指定讓其自動“覆蓋事件超過x天的事件”，以及“不覆蓋事件”等待手動清除。

● 使用低速連接：由于事件日志的產生是隨時都可能發生的，因此為了不至于占用過多的系統資源影響到服務器正常運行，可以選擇“使用低速連接”復選框。

3. 篩選事件

事件日志篩選器可以幫助用戶快速查看想要的詳細信息。使用過“事件查看器”的用戶都會發現事件日志特別多，有時候一天之內產生的記錄就可能有上百條，此時如果仍按照日期和時間查找，勢必要花費太多的事件。事件篩選器可以按照設定的事件類型、事件ID、用戶等相關信息對所有事件進行過濾，最后顯示出想要的結果。

首先在“事件查看器”控制臺窗口左側的目錄中單擊選擇自己想要查看的事件類型，例如“安全性”事件，然后單擊“查看”菜單并選擇“篩選”項，顯示如圖4-79所示的“安全性 屬性”對話框。

首先在“事件類型”選項框中選擇相應的事件類型，其中包括了事件查看器中記錄的所有的日志類型，但是當篩選不同類型的事件日志時可以取消其他非必要的選項，例如本例中篩選“安全性”事件就可以取消“信息”、“警告”、“錯誤”三項，而只保留“審核成功”和“審核失敗”。

“事件來源”則主要用于標識產生指定時間的軟件，該軟件可以是一個應用程序，也可以是系統的一個功能組件，系統默認從“全部”來源的事件中進行篩選。除此之外還可以指定特定的時間來源，如SC Manager、Security、DS等，需要注意的是選擇不同事件類型時將會看到不同的時間來源選擇。

在一個龐大的系統事件日志系統中往往記錄了從安裝操作系統至今的所有事件，而需要查看的僅僅是出現故障前后的日志信息，因此還可以采用限定時間的方法縮小篩選范圍。首先分別在“從”和“到”后的下拉列表中選擇“事件時間”，然后再在后面具體日期和時間選項框中設定具體的起止時間，如圖4-80所示。

4.5.2 事件查看器

其實事件查看器也就是系統日志。微軟在以Windows NT為內核的操作系統中集成了事件查看器功能，這些操作系統包括Windows 2000/NT/XP/2003等。通過“事件查看器”中的事件日志，可以收集關于硬件、軟件和系統問題的信息。通常情況下運行Windows Server 2003的計算機的日志中記錄的時間可以分為應用程序、系統和安全三類，如果安裝了Active Directory服務、DNS服務、文件服務等網絡組件，還會自動增加相應的事件日志記錄。雖然“事件查看器”主要是一個管理員用來管理事件日志的工具，但用戶也可以查看自己計算機上的應用程序和系統日志。需要注意的是只有管理員可以訪問安全日志。

1. 查看事件的詳細信息

選中事件查看器左邊的樹形結構圖中的日志類型（應用程序、安全性或系統），在右側的詳細資料窗格中將會顯示出系統中該類的全部日志，雙擊其中一個日志，便可查看其詳細信息。在日志屬性窗口中我們可以看到事件發生的日期、事件的發生源、種類和ID，以及事件的詳細描述。這對我們尋找并解決錯誤來說是最重要的。

（1）查看事件信息

第1步，依次單擊“開始”→“管理工具”→“事件查看器”，打開如圖4-81所示的“事件查看器”窗口。

第2步，在左側“事件查看器”目錄中單擊想要查看的事件類型（本例中使用的計算機已經安裝活動目錄等網絡服務），將會在右側主窗口中顯示該類型的所有事件日志及其日期。根據事件日志的發生日期和具體時間，選擇并雙擊想要查看的日志記錄，即可顯示如圖4-82所示的“事件 屬性”對話框。

在“事件 屬性”對話框中將會顯示該事件的相關描述信息、事件ID、用戶類別等，如果想要繼續了解該事件的更多信息，還可以單擊系統提供的相關鏈接，轉入“幫助或支持中心”或者尋求在線幫助等。另外有些事件日志還可以生成二進制數據，單擊“數據”類型后面的“字節”或“字”單選項即可進行切換。二進制數據可由經驗豐富的程序員或熟悉源應用程序的技術支持人員解釋。

（2）查看遠程計算機事件日志

默認狀態下在“事件查看器”控制臺窗口中顯示的都是本地計算機系統的事件日志，另外還可以查看其他計算機的事件日志。在“事件查看器”控制臺中右擊“事件查看器（本地）”并選擇快捷菜單中的“連接到另一臺計算機”選項，顯示如圖4-83所示的“選擇計算機”對話框，在“這個管理單元將始終管理”選項組中選擇“另一臺計算機”單選項，并在后面的文本框中鍵入目標計算機的主機名或IP地址（如192.168.49.1）。

單擊“確定”按鈕，如果網絡連接正常即可在控制臺窗口中顯示遠程計算機的事件查看器內容，如圖4-84所示。查看遠程主機事件詳細信息的方法與查看本地計算機事件完全相同，需要注意的是如果要想查看遠程主機的“安全性”事件信息必須以管理員或Administrators組成員的身份登錄才可以。

2. 管理事件日志

事件日志的產生是自動的，但是日積月累占用的系統空間也會越來越多，一方面會嚴重影響服務器的運行速度，甚至會丟失早期重要的事件日志。管理事件日志主要就是清除陳舊無用的信息，并導出重要信息妥善保管，以便日后查看。用戶可對本地計算機或遠程計算機的事件日志進行管理。

（1）刪除時間日志

刪除日志時，系統首先刪除包含該日志內容的文件，然后訪問注冊表并將注冊到此日志的所有事件源的注冊都移除。因此即使重新創建此已被刪除日志，也不會以默認方式創建這些源。刪除相關事件日志之前必須保證當前操作用戶賬戶擁有足夠的操作權限。需要注意的是重新創建事件日志可能是一個相當麻煩的過程，因此建議不要刪除任何由系統創建的事件日志（如“系統”日志）。可以根據需要刪除和重新創建自定義日志。

首先打開“事件查看器”控制臺窗口，并在左側目錄中選擇想要刪除的事件日志的類型，然后單擊“操作”菜單并選擇“清除所有事件”項，打開如圖4-85所示的對話框。提示“在清除之前是否要保存這些事件日志？”，如果想要徹底刪除這些事件日志，則可以直接單擊“否”按鈕；如果在清除之前想要保存該日志還可以單擊“是”按鈕將其導出。

（2）導出事件日志

事件日志是管理員診斷和排除服務器故障的重要依據，因此對于一些重要的系統日志如果仍然采取統統刪除的手段，顯然是不可取的。為了釋放系統和磁盤空間，可以將其暫時導出保存，需要的時候還可以導入查看。

在“事件查看器”窗口中單擊要導出保存的事件類型，如“系統”，然后單擊“操作”菜單并選擇“另存為日志文件”項，打開如圖4-86所示的對話框，在“文件名”文本框中鍵入合適的文件名即可。

如果以日志文件格式存檔日志，則可以在事件查看器中重新打開它。另存為事件日志文件（*.evt）的日志將保留所記錄的每個事件的二進制數據。如果把日志存檔為文本或逗號分隔的格式（分別為*.txt和*.csv），則可以在文字處理或電子表格之類的其他程序中重新打開日志。以文本或逗號分隔的格式存儲的日志文件不保留二進制數據。

（3）查看存檔事件日志

查看曾經保存過的事件日志首先必須打開“事件查看器”控制臺窗口，然后單擊“操作”菜單并選擇“打開日志文件”項，顯示如圖4-87所示的“打開”對話框，需要注意的是打開存檔事件之前必須指定其日志類型，單擊“日志類型”后面的下拉列表框選擇對應類型即可。

“顯示名稱”是指打開存檔后在“事件查看器”窗口中顯示的名稱，默認將顯示為“保存了xxx日志”。

只有當日志是以日志文件格式（.evt）保存，才能在“事件查看器”中查看已存檔的文件。打開保存的事件日志后是不可以進行刷新或刪除的。

3. 事件的查找

查找事件是“事件查看器”為用戶提供的用于查看某特定事件詳細信息的工具，當查閱大型日志數據庫時比較有用。查找事件與篩選事件的主要區別就在于篩選日志主要應用查看某種類型的多個事件日志，而查找事件則是應用于查看符合條件的特定事件日志。

在“事件查看器”的目錄樹中右擊欲查找事件所屬的日志類型，并選擇快捷菜單中的“查看”→“查找”選項，即可顯示如圖4-88所示的對話框。

在“事件類型”下，選擇要查找的事件類型，包括信息、警告、錯誤、審核成功、審核失敗等。另外還需要在“事件來源”、“類別”、“事件ID”、“用戶”、“計算機”或“描述”中，指定要查找的事件的其他信息，也可以設置其中的一項或者幾項，設置的限定條件越多，查找結果就越明確。