Log hệ thống - Part 2 (Event Viewer)

Quản lý hệ thống mạng không thể thiếu phần giám sát hệ thống, ngoài việc bạn ghi lại các tiến trình trong hệ thống bạn còn phải biết điều chỉnh thiết lập chỉ ghi lại những yếu tố cần thiết.
Nội dung trích xuất từ tài liệu:
Log hệ thống - Part 2 (Event Viewer) Log hệ thống - Phần 2 (Event Viewer) Quản lý hệ thống mạng không thể thiếu phần giám sát hệ thống, ngoài việc bạn ghi lại các tiến trình trong hệ thống bạn còn phải biết điều chỉnh thiết lập chỉ ghi lại những yếu tố cần thiết. Chẳng hạn một máy chủ File Server bạn chỉ cần giám quá trình truy cập tài nguyên, máy chủ Active Directory giám sát quá trình log on vào hệ thống.Trong phần hai của bài viết tôi sẽ giới thiệu với các bạn công một côngcụ ghi lại các event của hệ thống đó là Event Viewer.Event viewer là một công cụ tích hợp trong Windows cho phép bạnxem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết vớinhiều tham số cụ thể như: user, time, computer, services… Các sựkiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng talấy được những thông tin cần thiết một cách nhanh nhất.Trong Event viewer đã phân vùng các sự kiện riêng biệt cho từng ứngdụng, một máy chủ cài đặt mặc định sẽ có ba phân vùng trong eventviewer:ApplicationSecuritySystemHình 1: Event viewer chia các vùng log riêng biệt cho các ứng dụng.Application logApplication log ghi lại sự kiện của các ứng dụng khác từ các nhà sảnxuất khác như symantec hay các ứng dụng mail…Thường thiết lậptrong application là mặc định của các ứng dụng nên chúng ta chỉ cóthể đọc nó mà không thiết lập được.Hình 2: các sự kiện được lưu lại trong application logTrong ví dụ trên application log chỉ được phần mềm symantec sử dụng.Security log.Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lạitoàn bộ các thiết lập audit trong group policy. Nhưng trong các thiếtlập group policy quan trọng nhất là thiết lập giám sát quá trình loginvào hệ thống, truy cập dữ liệu.Hình 3: thiết lập audit trong group policyTrong thiết lập này tôi chỉ thiết lập giám sát quá trình truy cập loginlog-off hệ thống. Nếu với thiết lập như trên toàn bộ người dùng logonhay logoff vào hệ thống đều được ghi lại sau khi thiết lập trong grouppolicy các bạn nên logoff hoặc restart lại máy bởi các thông tin chỉnhtrong group policy bản chất là chỉnh các thông số trong registry.Giờ tôi logoff ra và login vào sẽ thấy ghi lại trong security log.Hình 4: xem lại event logon vào hệ thống của các userSau khi logon vào máy tính mở event viewer ra xem và tôi phát hiệnra hệ thống đã lưu lại username: vangtrang computer: vnexperts,event: success audit, time: 8:10:06PMVậy ý nghĩa của việc xem lại log này là gì: bạn hãy tưởng tượng mộtdữ liệu trong máy của bạn đã bị mất và trong log ghi lại là đã được xoálúc 12h đêm vậy bạn cần quy trách nhiệm đó cho ai, bạn cần biếttrong thời điểm đó những ai đang online và logon, logoff trong thờigian đó.Thiết lập giám sát một folder dữ liệu quan trọng, với yêu cầu đặt ra làgiám sát toàn bộ các quá trình truy cập các action cụ thể với foldernày. Trong ổ E có thư mục quan trọng VNEDATA việc cần thiết của bạnlà đưa ra các thiết lập giám sát toàn bộ truy cập vào folder này.Bước 1: thiết lập audit object access trong group policy ở cả chế đọsuccess và failsHình 5: thiết lập audit object accessVới thiết lập trong group policy có nghĩa bạn chỉ enable tính năng chophép hệ thống ghi lại mà thôi, mặc định hệ thống sau khi thiết lập nàysẽ ghi lại event với các đối tượng hệ thống như registry… Còn muốnmột quá trình truy cập vào folder mà được lưu lại thì phải thiết lập trênfolder đó.Bước 2: thiết lập audit trên foder.Chuột phải vào folder chọn properties sang tab security chọnadvanced, chuyển sang tab audit chọn trong cửa sổ add chúng ta addgroup với tên là everyone (everyone là một system group trongWindows).Hình 6: thiết lập audit toàn bộ các event truy cập vào folder:Sau khi thiết lập bạn restart lại máy và thử truy cập vào folder nàyxem trong event viewer có ghi các sự kiện với folder này không.Hình 7: Xem lại audit object accesNhìn vào event ta nhận thấy vào lúc 8:36:42 PM user với tên làvangtrang từ máy tính có tên VNEXPERTS đã bị failure trong quá trìnhtruy cập vào folder E:\VNEDATA. Ứng dụng của tính năng audit và xemlại các event cho ta phát hiện những kẻ truy cập bất hợp pháp và quytrách nhiệm cụ thể cho những kẻ phá hoại.System Log:System log được thiết lập mặc định của hệ thống giúp chúng ta xemlại các sự kiện:Bật, tắt, pause, disable, enable các services của hệ thống.Ví như một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trongsystem log của event viewer.Hình 8: Xem một event trong system logVới thông event service với tên là Server đã bị lỗi do trong mạng LANcó máy tính trùng tên hoặc trùng địa chỉ IP.Log PropertiesLog properties giúp chúng ta cấu hình dung lượng file log, cách xoá cácevent cũ đi như thế nào, và những tính năng lọc các sự kiện.Hình 9: Tab General của system propertiesĐây là thiết lập cho security properties: Với file log tên là gì và ở đâu:C:\Windows\System32\Config\SecEvent.EvtDung lượng tối đa cho file log này là 512 KB bạn có thể cấu hình lại tohơn hoặc nhỏ hơn, nếu dung lượng file long lớn hơn 512 KB hệ thốngsẽ tự xoá các sự kiện cũ theo thuật toán First in First out – (vào trướcvào thì ra trước).Nếu dung lượng chưa được 512KB nhưng với thiết lập mặc định cácevent sẽ bị xoá sau 7 ngày.Hình 10: tab filter của system propertiesTrong tab này với khi chưa cấu hình lọc mặc định sẽ hiển thị toàn bộcác sự kiện bạn có thể lọc chỉ hiển thị theo event types: nhưinformation, waring, erro, success audit, hay failure auditHoặc có thể thiết lập lọc các sự kiện theo thời gian và ID của các sựkiệnKết luận.Event viewer là một tool quan trọng trong việc giám sát hệ thống dựavào công cụ này người quản trị sẽ phát hiện ra những kẻ truy cập bấthợp pháp vào những thời điểm cụ thể, với ...