6008 和 1001 事件表明該計(jì)算機(jī)在沒有關(guān)機(jī)的情況下被切斷電源，或因?yàn)楸绘i定而重新啟動(dòng)，或碰到了一個(gè)停止錯(cuò)誤。假如存在 1001 事件，說明發(fā)生了一個(gè)停止錯(cuò)誤，其中包含相關(guān)的調(diào)試信息和對(duì)該調(diào)試文件的引用。

EventCombMT 工具返回的這些事件應(yīng)使用已知的宕機(jī)時(shí)間進(jìn)行交叉檢查，不匹配的事件應(yīng)加以研究，以確保該服務(wù)器沒有被攻擊。

EventCombMT 包括幾個(gè)預(yù)先配置的搜索，可用于搜索安全事件。例如，有一個(gè)預(yù)定義的搜索可搜索帳戶鎖定事件。

• 使用 EventCombMT 搜索帳戶鎖定

1.
在 EventCombMT 工具中，確保該域配置了正確的域名。

2.
在該域名下面的“Select to Search/Right Click to Add”（選擇進(jìn)行搜索/右鍵單擊進(jìn)行添加）框中，右鍵單擊該框，然后單擊“Get DCs in Domain”（獲取域中的 DC）。

3.
右鍵單擊“Select to Search/Right Click to Add”（選擇進(jìn)行搜索/右鍵單擊進(jìn)行添加）框，然后單擊“Select All Servers in List”（選擇列表中的所有服務(wù)器）。

4.
從“Searches”（搜索）菜單中，單擊“Built In Searches”（內(nèi)置搜索），然后單擊“Account Lockouts”（帳戶鎖定）。EventCombMT 實(shí)用程序的配置方式如下圖所示：

5.
單擊“Search”（搜索）。

6.
完成搜索時(shí)，可在日志目錄中查看結(jié)果，該目錄應(yīng)在搜索完成時(shí)自動(dòng)打開。



注重：包括在 EventcombMT 中的其他預(yù)定義搜索分別是文件復(fù)制服務(wù)搜索、Active Directory 搜索，尋找是否有重復(fù) SID 和 NETLOGON DNS 注冊(cè)失敗、硬盤錯(cuò)誤以及 DNS 接口錯(cuò)誤。您還可以定義和保存自定義的搜索。

Contoso 在嘗試診斷問題或在事件響應(yīng)過程中確定問題原因時(shí)，會(huì)使用 EventCombMT。另外，Contoso 還定期檢查所有域控制器上是否存在帳戶鎖定或錯(cuò)誤密碼。這樣的操作有助于手動(dòng)識(shí)別監(jiān)視系統(tǒng)可能不能檢測(cè)的任何希奇模式。

事件收集
審核的主要目標(biāo)之一是識(shí)別攻擊者在網(wǎng)絡(luò)上采取的操作。攻擊者可能嘗試破壞網(wǎng)絡(luò)上的多個(gè)計(jì)算機(jī)和設(shè)備。因此，要了解任何攻擊的程度，必須能整理和合并來自很多計(jì)算機(jī)的信息。

假如日志實(shí)用程序?qū)��?dǎo)入數(shù)據(jù)庫中，整理來自多個(gè)日志的信息較為簡單。只要所有計(jì)算機(jī)上的時(shí)間同步，就可以根據(jù)時(shí)間字段進(jìn)行排序，這就使根據(jù)時(shí)間間隔進(jìn)行跟蹤事件變得非常簡單。

下面幾節(jié)內(nèi)容簡要講述了一些工具和實(shí)用程序，可使用這些工具和實(shí)用程序?qū)⑹录�日志信息收集到一個(gè)中心位置。

腳本

可以編寫一些腳本來從多個(gè)遠(yuǎn)程計(jì)算機(jī)收集事件日志信息，并將這些信息存儲(chǔ)在一個(gè)集中的位置。通過使用腳本，可選擇何時(shí)使用“任務(wù)計(jì)劃”運(yùn)行腳本，一次采取什么操作即可將事件日志成功復(fù)制到集中的位置。

一個(gè)簡單的示例為，創(chuàng)建一個(gè)使用“Windows 2000 Server Resource Kit”中的 Dumpel.exe 的批處理文件，然后通過“控制面板”中的“任務(wù)計(jì)劃”定期啟動(dòng)該批處理文件。

“Windows 2000 Resource Kit, Supplement One”中包括 Eventquery.pl。這是一個(gè) Perl 腳本，可顯示運(yùn)行 Windows 2000 的本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)上的“事件查看器”中的事件，并提供了很多篩選器，可幫助您查找特定的事件。

注重：要使用這個(gè)腳本，需安裝“Windows 2000 Server Resource Kit”中的 ActivePerl。

Contoso 當(dāng)前不使用事件收集解決方案。但預(yù)期會(huì)使用 Microsoft Audit Collection System (MACS)，該系統(tǒng)將在第二年發(fā)布。MACS 是一種安全事件收集工具，它利用壓縮、簽名和加密的安全方式收集事件。收集事件之后，這些事件將加載到 SQL 數(shù)據(jù)庫中，并進(jìn)行優(yōu)化以供分析。

Microsoft Operations Manager

Microsoft Operations Manager (MOM) 2000 是一種高級(jí)工具集，使企業(yè)能完整分析 Windows 2000 及其應(yīng)用程序的內(nèi)置事件報(bào)告和性能監(jiān)視。MOM 2000 使用遠(yuǎn)程計(jì)算機(jī)上的 Intelligent Agent 將事件和性能數(shù)據(jù)收集、存儲(chǔ)并報(bào)告到單獨(dú)的位置，使治理員可集中復(fù)查收集的信息。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板