Trong bài tập này bạn sẽ giám sát các sự kiện được tạo ra bởi server. Điều này thì quan trọng, bởi vì khi có một vấn đề xảy ra nó thường được ghi nhận lại trong các tập tin nhật ký của hệ thống. Tập tin nhật ký chính là nguồn tham khảo tốt để tìm kiếm những vấn đề trong cấu hình hệ thống hoặc trong vấn đề về truy cập.
1. Log on vào the server với tài khoản Administrator.
2. Thực thi chương trình Event Viewer bằng cách chọn Start \ Administrative tools \ Event Viewer.
3. Cửa sổ Event Viewer hiển thị các sự kiện hiện hành.
Hình 52 Cửa sổ Event Viewer
4. Chọn Event Viewer (Local) \ Windows Logs \ System để hiển thị các sự kiện liên quan đến vấn đề hệ thống.
5. Click Action \ Filter Current Log từ menu bên phải để chỉ xem các sự kiện thuộc loại có quan tâm
Hình 53 Cửa sổ FilterCurrent Log 25. Bật chế độ kiểm toán cho server
Trong bài tập này bạn sẽ xem xét việc đặt các kiểm toán trên các tài nguyên được chọn lựa nhờ đó những sự sử dụng và truy xuất đến chúng đều được theo dõi. Thông thường, nếu bạn
thấy không thể giải quyết được những vấn đề về truy cập của người dùng hãy bật chế độ kiểm toán và xem lại các sự kiện kiểm toán sẽ giúp bạn xác định được nguyên nhân của vấn đề.
Bạn sẽ định nghĩa một Chính sách nhóm cho bộ điều khiển miền mà nó có chức năng kiểm toán
1. Log on vào server với tài khoản người quản trị.
2. Mở chức năng kiểm toán bằng cách chọn: Start \ Administrative Tools \ Local Security Policy.
3. Mở Security Settings \ Local Policies \ Audit Policy 4. Bật các sự kiện sau:
Hình 54 Kiểm toán sự kiện
- Double click vào Audit account logon events \ Đánh dấu chọn Failure để kiểm toán các sự kiện đăng nhập thành công hay thất bại
- Double click vào Audit object access \ Đánh dấu chọn Success, Failure để kiểm toán các sự kiện truy cập đến các đối tượng thành công hay thất bại
26. Đặt chế độ kiểm toán ở cấp đối tượng tập tin
1. Nhấp chuột phải lên thư mục C:\TempXX và chọn Properties. 2. Click thẻ Security \ Click nút Advanced
3. Click thẻ Auditing \ Chọn Edit \ Chọn Add để thêm người dùng Linda Seconi với các tuỳ chọn sau:
Hình 55 Cửa sổ Auditing Entry for Folder
List Folder/Read Data [success and failure] Create Files/Write Data [success and failure]
4. Click OK để đóng tất cả các cửa sổ đã mở trước.
5. Mở lại công cụ Event Viewer \ Windows Logs \ Click chuột phải lên Security \ Chọn Clear Log… \ Clear để xoá tất cả các sự kiện kiểm toán trước đó.
27. Tạo ra các sự kiện kiểm toán
Bài tập này thực hiện việc kiểm tra các sự kiện đã yêu cầu kiểm toán. Những gì bạn thực hiện trong các bài tập trước là bật chế độ kiểm toán trên server bằng Local Security Policy. Kế tiếp bạn bật chế độ kiểm toán trên thư mục con C:\TempXX. Lần này bạn sẽ đăng nhập và truy cập tài nguyên này vì thế các sự kiện kiểm toán sẽ được tạo ra.
1. Log on vào server computer với tài khoản Linda.Seconi sai mật khẩu. 2. Log on vào server computer với tài khoản Linda.Seconi đúng mật khẩu. 3. Truy cập thư mục C:\TempXX
4. Tạo một thư mục tên Hello. 5. Log off khỏi server.
28. Xem các sự kiện kiểm toán
1. Đăng nhập vào server với tài khoản Administrator.
2. Thực thi chương trình Event Viewer và truy cập đến Security log. (adsbygoogle = window.adsbygoogle || []).push({});
3. Chọn lọc các sự kiện : Audit Failure \ Xem sự kiện Kerberos Authentication Service. Đây là sự kiện đăng nhập sai password (Hình 56)
Hình 56 Sự kiện đăng nhập sai password của Linda Seconi
4. Xem các sự kiện File System 4656. Đây là sự kiện đã tạo thư mục Hello (Hình 57)