关于系统日志事件2021 的解决方法
症状
“适用于”一节中包括的任何一种操作系统可能在短时间内停止响应,并且系统日志中会记录类似于以下内容的多个事件:
事件ID: 2022
来源: Srv
描述: 服务器无法在最近的s秒内找到可用的连接n次。
事件ID: 2021
来源: Srv
描述: 服务器无法在最后%3 秒内创建%2 次工作项目。
此外,在与出现问题的服务器相连接的服务器或客户端上,可能会记录类似以下内容的事件。
事件ID: 3013
来源: Rdr
描述: 重定向程序对Computer_Name已超时。
有时,当服务器计算机尝试与自己连接时,可能会在出现问题的服务器计算机上记录事件3013。
注意:本文讨论的许多故障排除步骤也可用于解决事件ID 3013 错误。
操作系统的其他组件可能无法工作,且可能会生成错误消息,这些错误消息在其事件日志消息的数据部分报告状态代码1450。也就是“系统资源不足”。可以在系统事件日志或应用程序事件日志中找到这些事件。仅在基础事件涉及与服务器服务的连接时,这些消息才适用于本文描述的问题。但是,这一情况难以确定。例如,CLUSSVC 会生成事件ID 1055。此事件来自群集服务,它通常报告连接服务器服务失败。
原因
出现此问题的原因是服务器服务无法满足按I/O 流网络层排队的网络工作项的需求。服务器服务不能在硬盘上足够快地处理请求的网络I/O 项,并消耗了可用资源。
有许多根源可以导致服务器服务消耗可用资源。例如,网络适配器和硬盘驱动器之间的I/O 路径发生任何问题都会导致出现本文描述的症状。
如果安装的网络适配器驱动程序不正确,也可能出现此问题。
以上为微软给出的信息,还有一些没有放进来,以下为我自己对系统的一些更改:
一、本地连接--属性--Microsoft网络文件及打印共享...--- 属性--- 选择最大化文件共享数据吞吐量或最大化网络应用程序数据吞吐量(推荐这个)
二、更新系统驱动,特别是网卡的驱动!!!
三、重启电脑,呵呵,以上就是这些
经过观察系统日记产生事件2021 的现象没有了. 速度也快了,系统也稳定了!
建立安全日志记录 为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何追踪。好的方面在于,不会发生日志信息爆满的问题以及提示日志已满的错误信息,这也是Windows Server 2003域控制器在没有任何预警下的行为。 安全日志事件跟踪可以使用组策略来建立和配置,当然你可以配置本地组策略对象,但是这样的话,你将需要对每台计算机进行单独配置。另外,你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪,首先打开连接到域的计算机上的Group Policy Management Console (GPMC,组策略管理控制台),并以管理员权限登录。在GPMC中,你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上),在本文中,我们将假设你有一个OU,这个OU中包含所有需要追踪相同安全日志信息的计算机,我们将使用台式计算机OU和AuditLog GPO。 编辑AuditLog GPO然后展开至以下节点: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy 类别控制范围的简要介绍 以下是关于每种类别控制范围的简要介绍: 审计帐户登录事件–每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计,计算机执行该审计是为了验证帐户,关于这一点的最好例子就是,当用户登录到他们的Windows XP Professional计算机上,总是由域控制器来进行身份验证。由于域控制器对用户进行了验证,这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现,在很多环境中,客户端也会配置为审计这些事件。 审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计,这些事件的示例如下: ·创建一个用户帐户 ·添加用户到一个组 ·重命名用户帐户 ·为用户帐户更改密码 对于域控制器而言,该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言,它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计,安全日志以及审计设置是不能捕捉的。 审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL 追踪用户访问情况)的用户有关的事件进行审计,AD对象的SACL指明了以下三件事: ·将会被追踪的帐户(通常是用户或者组)
防火墙测试报告 2013.06.
目录 1 测试目的 (3) 2 测试环境与工具 (3) 2.1 测试拓扑 (3) 2.2 测试工具 (4) 3 防火墙测试方案 (4) 3.1 安全功能完整性验证 (4) 3.1.1 防火墙安全管理功能的验证 (5) 3.1.2 防火墙组网功能验证 (5) 3.1.3 防火墙访问控制功能验证 (6) 3.1.4 日志审计及报警功能验证 (6) 3.1.5 防火墙附加功能验证 (7) 3.2 防火墙基本性能验证 (8) 3.2.1 吞吐量测试 (9) 3.2.2 延迟测试 (9) 3.3 压力仿真测试 (10) 3.4 抗攻击能力测试 (11) 3.5 性能测试总结.................................................................................... 错误!未定义书签。
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置: 没有攻击源时的测试拓扑结构 有攻击源时的测试拓扑结构
2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 3防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
如何查看电脑使用记录 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
一、如何查看电脑开机记录 1.打开“我的电脑”,C盘Windows目录下有很多文件,找到一个(或者开始-运行)。它是“计划任务”的日志,会忠实地记录电脑计划任务的执行情况,还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”,双击“管理工具”,然后打开“事件查看器”,在左边的窗口中选择“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常有价值的!
2.看你最近打开过什么文件(非程序)和文件夹(最近打开文件的历史记录)! "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator (Administrator改成你的用户名)"-"Recent"(或开始-运行-recent)。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始-运行-Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始-文档中可以看到最近使用过的文件。 5. 电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始-运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址,可以在IE里点击历史记录。
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
如何查看电脑使用记录 系统设置 : 怎样在日志里面记录用户地登陆、对文件地访问等信息? : "开始"—>"运行"—>""—>"计算机配置"—>"设置"—>"安全设置"—>"本地策略"—>"审计策略"—>...b5E2R。 .看计算机在哪天运行过运行了多久! (系统安装在盘) 找到:\\文件里面有你自这个系统产生以来曾经工作过地时间,包括哪天开了机开机时间关机时间! 也可以进入控制面版管理工具事件查看器系统可以看到开机和关机时间. .看你最近运行过什么程序: 找到:\\下.里面有记录你曾经运行过什么程序,文件最前面地及为程序名,后面地执行代码不用理他!如果你没有优化过地话这里面保存地东西应该是非常有价值地!p1Ean。 .看你最近打开过什么文件(非程序)和文件夹! 开始运行
.看最近在网上做了什么…………等等 显示所有文件个文件夹,找到:\ \\ 目录你慢慢探索一下这个文件夹吧如果没有进行过磁盘清理或相关优化你所有记录可全在这个里面哦(包括你上网干了什么坏事可能还能有视频,图片罪证呢!呵呵)DXDiT。 .查看最近删除了什么:这就要用到硬盘恢复工具啦把你曾经以为彻底删除掉地东西都给你翻出来哈哈!! 相关软件(以下软件较旧,可以找相关新版地软件,自己去百度搜索吧). 文件大小:更新时间:下载次数:次软件星级:★★★ 可以即时地监测你地电脑,当你地电脑有改变地时候,它会立刻提示你,从而让你作出选择. 软件分类:系统监视操作系统:授权方式:试用版RTCrp。 文件大小:更新时间:下载次数:次软件星级:★★★ 可说是地加强版,有别于地一次只可以监控一个文件,可以监控一个文件夹中下地所有文件. 软件分类:系统监视操作系统:授权方式:试用版5PCzV。
一、如何查看电脑开机记录 1.打开“我的电脑”,C盘Windows目录下有很多文件,找到一个SchedLgU.txt(或者开始-运行SchedLgU.txt)。它是“计划任务”的日志,会忠实地记录电脑计划任务的执行情况,还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”,双击“管理工具”,然后打开“事件查看器”,在左边的窗口中选择“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常
有价值的! 2.看你最近打开过什么文件(非程序)和文件夹(最近打开文件的历史记录)! "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator (Administrator改成你的用户名)"-"Recent"(或开始-运行-recent)。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始-运行-Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始-文档中可以看到最近使用过的文件。 5. 电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始-运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址,可以在IE里点击历史记录。
从防火墙日志解析网络安全 现在人为了使自己的网络更加安全,都安装了各种网络防火墙软件。大部分防火墙软件都拥有日志功能,我们可以通过从日志中拦截下来的数据包日志来了解自己受到了什么样的攻击。我们以天网防火墙为列。 图1 如图1。一般日志记录都会有很多重复的内容,为方便叙述,我们举列出日志记录,如 图2 图2。我们可以看到,每条日志记录都是由三行组成:
第一行记录代表数据包的发送/接受时间、发送者IP地址、对方通信端口、数据包类型、本机通讯端口等情况。 第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等,其中标志位ACK、SYN和FIN比较常用,简单含义如下: ●ACK:确认标志 提示远端系统已经成功接收所有数据 ●SYN:同步标志 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号 ●FIN:结束标志 带有该标志位的数据包用来结束一个TCP会话,但对应端口仍处于开放状态,请准备接受后续数据。 ●RST:复位标志,具体作用未知 第三行对数据包的处理方法。对于不符合规则的数据包会被拦截或拒绝,对符合规则但被设置为监视的数据包会显示为“继续下一规则”。 下面我们列举几种记录进行分析。 1 [11:30:46] 282.121.8.171 尝试用ping 来探测本机, TCP标识:S 该操作被拒绝。 该记录显示了在11:30:46时,从地址282.121.8.171向你的电脑发出ping命令来探测主机信息,但被拒绝了。人们用ping命令可以来确定一个合法的ip是否存在,当别人用ping命令来探测你的电脑时,如果你的电脑里安装了TCP/IP协议,就会返回一个回应ICMP 包,如果你在防火墙规则中设置了“防止别人用ping命令探测主机”,如图3。你的电脑则不会返回给对方这种ICMP包,这样别人就无法用ping命令探测你的电脑了。如果在日志中 图3
AIX操作系统错误日志及日常维护 一、系统故障记录(errorlog) errdemon 进程在系统启动时自动运行 记录包括硬件软件及其他操作信息 故障记录文件为/var/adm/ras/errlog 可备份下来或拷贝到别的机器上分析 errpt 命令的使用(普通用户权限也可使用) #errpt |more 列出简短出错信息 ERROR_ID TIMESTAMP T C RESOURCE_NAME ERROR_DESCRIPTION 192AC071 0723100300 T 0 errdemon Error logging turned off 0E017ED1 0720131000 P H mem2 Memory failure 9DBCFDEE 0701000000 T 0 errdemon Error logging turned on 038F2580 0624131000 U H scdisk0 UNDETERMINED ERROR AA8AB241 0405130900 T O OPERATOR OPERATOR NOTIFICATION TIMESTAMP: MMDDHHMMYY (月日时分年 T 类型: P 永久; T 临时; U 未知永久性的错误应引起重视 C 分类: H 硬件; S 软件; O 用户; U未知 #errpt -d H 列出所有硬件出错信息 #errpt -d S 列出所有软件出错信息 #errpt -aj ERROR_ID 列出详细出错信息 # errpt -aj 0502f666 <--- ERROR_ID用大小写均可,例: LABEL: SCSI_ERR1 ID: 0502F666 Date/Time: Jun 19 22:29:51 Sequence Number: 95 Machine ID: 123456789012 Node ID: host1 Class: H Type: PERM Resource Name: scsi0 Resource Class: adapter Resource Type: hscsi Location: 00-08 VPD: <--- Virtal Product Data Device Driver Level (00) Diagnostic Level (00) Displayable Message.........SCSI EC Level....................C25928 FRU Number..................30F8834 Manufacturer................IBM97F Part Number.................59F4566 Serial Number (00002849) ROS Level and ID (24) Read/Write Register Ptr (0120)
收稿日期:2008208220 基金项目:山东省自然科学基金(Y 2006G 20) 作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。 文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究 宁兴旺,刘培玉,孔祥霞 (山东师范大学信息科学与工程学院,山东济南250014) 摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律 是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现 Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用 模型。 关键词:主机日志;安全审计;计算机安全 中图分类号:TP393 文献标识码:A R esearch on Windows Log B ased Security Audit Technology Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia (School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China ) Abstract :An event log records s ome im portant events of an operating system or an application procedure. It is the primary purpose of a security audit to discover the required information and rules of an event by the analysis of a log.This paper discusses the central and global managment of windows system log files , em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a host log analysis based security audit universal m odel by the analysis of a windows log. K ey w ords :host log ;security audit ;com puter security 近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。 根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》 (T rusted C om puter System Evaluation Criteria ),安全审计可以理解为: 定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 衡量一个安全审计系统好坏的标准主要有以下几个方面: (1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷 第1期 2009年2月 山东科学SH ANDONG SCIE NCE V ol.22 N o.1Feb.2009
Quidway Eudemon 防火墙日志服务器配置指导 华为技术有限公司 Huawei Technologies Co., Ltd.
修订记录
目录CATALOG 1.1 几点说明 (4) 1.2 验证组网 (5) 1.3 Eudemon 200参考配置 (5) 1.3.1 Syslog配置: (5) 1.3.2 Binary配置: (6) 1.4 Eudemon 1000参考配置 (7) 1.4.1 Syslog配置: (7) 1.4.2 Binary配置: (7)
防火墙日志服务器配置说明 通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息,方便日志查询、分析、告警;这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。 1.1 几点说明 1.Eudemon防火墙目前支持两种日志格式Syslog、Binary; 2.Syslog(UDP:514)日志为文本日志,如在防火墙上执行的各种命令操作记录; 3.Binary(UDP:9002)流日志是在防火墙上建立会话表项的日志,其又分为Binary NAT Log和Binary ASPF Log;其中Binary NAT Log指会话表项进行 地址转换的流日志;而Binary ASPF Log指会话表项没有进行地址转换的流 日志; 4.Binary日志在防火墙会话表项老化之后会生成: E200:在session完全老化(display firewall session table verbose 查看不到)或清空会话表时会触发流日志; E1000:在session老化(display firewall session table查看不到) 后会触发流日志; 5.对于哪些会话表项能够产生Binary日志,E200与E1000有所不同: E200: 对TCP(处于ready状态,State:0x53的会话)、UDP会话会产生 Binary日志; E1000: 对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary 日志; 6.两种日志Syslog/Binary的记录时间取防火墙系统的当前时间; 7.由于Syslog日志数量相对Binary要少,建立会话对系统影响较小,而且Syslog日志是由cpu发的,与cpu发的其他报文处理流程一样,所以Syslog 会在E200/E1000防火墙上都会建立session; 8.Binary日志流量大,数量多,建立session可能对系统有所影响;E1000其Binary日志由NP直接发送,E200则由CPU发送;目前E200对Binary会在防火 墙上建立session;E1000对Binary在防火墙上没有建立session; 9.目前E200与E1000对于Syslog日志的配置命令完全相同;而对于Binary日志的配置命令则有所区别;
一、Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 登录类型2:交互式登录(Interactive) 这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 登录类型3:网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 登录类型4:批处理(Batch) 当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划
操作系统实验日志 一、实验主要内容 1、制作真正的IPL,即启动程序加载器,用来加载程序。 添加的代码关键部分如下: MOV AX,0x0820 MOV ES,AX MOV CH,0 ;柱面0 MOV DH,0 ;磁头0 MOV CL,2 MOV AH,0x02 ;AH=0x02:读盘 MOV AL,1 ;执行1个扇区 MOV BX,0 MOV DL,0x00 ; A驱动器(现在都只有一个驱动器了) INT 0x13 ;调用磁盘BIOS JC error 这里有JC指令,是一些特定指令中的一种,后面知识点收录有。JC就是jump if carry,如果进位标志位1的话,就跳转。就是成功调用0x13就会跳转到error处。 INT 0x13又是一个中断,这里AH是0x02的时候是读盘的意思,就是要把磁盘的内容写入到内存中。今天实验用到了4个软中断,都记在知识点里了。 至于CH\DH\CL\AL三个寄存器呢,就分别是柱面号、磁头号、扇区号、执行的扇区数。那么含有IPL的启动区位于:C0-H0-S1 (Cylinder, magnetic Head, Sector) 然后ES\BX和缓冲地址有关。
2、缓冲区地址0x0820 MOV AL,[ES:BX] ; ES*16+BX -> AL 说是原来16位的BX只能表示0~65535,后来就引入了一个段寄存器,用MOV AL,[ES:BX] ; ES*16+BX -> AL这样的方法就可以表示更大的地址,就够当时用了,可以指定1M内存地址了。那么这里我们就是将0X0820赋值给ES,BX为0,这样ES*16后就访问0X8200的地址,那么就是讲软盘数据转载到0X8200到0X83ff的地方。 3、试错以及读满10个柱面 MOV AX,0x0820 MOV ES,AX MOV CH,0 MOV DH,0 MOV CL,2 readloop: MOV SI,0 ; 记录失败的次数,SI达到5就停止 retry: MOV AH,0x02 MOV AL,1 MOV BX,0 MOV DL,0x00 INT 0x13 JNC next ; 没出错就跳到next ADD SI,1 ; SI加一 CMP SI,5 ; SI和5比较 JAE error ; SI >= 5 时跳转到error MOV AH,0x00 MOV DL,0x00 INT 0x13 ; 重置驱动器,看上面AH变为0X00和0X02功能不同 JMP retry next:
功能特点 广泛的兼容性 支持分析业界主流的防火墙,包括Cisco 、Juniper 、3COM 、CheckPoint 、Fortigate 、BlueCoat 、FreeBSD 以及锐捷、联想网御等等。 安全和事件日志分析 通过对日志细致分析,生成病毒、攻击 及安全报告,识别病毒、木马、DoS 等 攻击行为以及被感染的主机,帮助安全 管理员识别潜在的安全威胁,以便有效 防范和及时处理。 Firewall Analyzer 是一个统一的安全日志监控与审计平台,能够实时将企业网络安全设施(如防火墙、代理服务器、入侵检测/防御系统和VPN 等)在运行过程中产生的安全日志和事件以及配置日志汇集到审计中心,进行全网综合安全分析。帮助安全管理人员快速识别病毒攻击、异常流量以及用户非法行为等重要的安全信息,从而运用合理的安全策略,保证网络的安全。 产品概述 防火墙日志审计系统 ManageEngine Firewall Analyzer
防火墙配置分析 可检测和分析防火墙配置的策略和规则,根据规则的使用情况进行合理的调整,以满足安全策略的需要。还提供错误、欠佳配置等信息,帮助管理员正确设定和更改配置,优化防火墙的性能。 防火墙流量分析 通过细致分析防火墙日志,获取通过流 入和流出每个防火墙的流量信息,了解 带宽使用、流量趋势和高峰时间使用模 式,有助于掌握整个网络内的各种活动 和规划带宽容量。 用户上网活动监测 内建用户上网活动监测功能,实时监测 用户访问的网站、耗用带宽的对象,如 P2P下载、视频聊天站点等等,帮助管 理人员合理调整防火墙策略,有效控制 用户的上网活动。 支持分布式网络 支持从分布于不同地理位置的安全设 备,收集日志信息并进行集中分析,满 足大型企业和MSSP(安全管理服务提 供商)的安全日志审计需要。 与网管系统集成 可与ManageEngine综合网络管理系统(OpManager)无缝集成,深入分析网络安全日志信息,构建网络性能与网络安全的一体化管理体系。 强大的报告能力 内建丰富的报表,如实时流量、协议使用、安全报表等,清晰直观展示日志分析和审计结果。也可根据用户实际需要自定义统计规则,自动生成柱状图、饼图、曲线图等。
系统日志检查管理 一.对各项操作均应进行日志记录,内容应包括操作人、操作时间和操作内容等详细信息。各级维护部门维护人员应每日对操作日志、安全日志进行审查,对异常事件及时跟进解决,并每周形成日志审查汇总意见报上级维护主管部门审核。安全日志应包括但不局限于以下内容: 1、对于应用系统,包括系统管理员的所有系统操作记录、所有的登录访问记录、对敏感数据或关键数据有重大影响的系统操作记录以及其他重要系统操作记录的日志; 2、对于操作系统,包括系统管理员的所有操作记录、所有的登录日志; 3、对于数据库系统,包括数据库登录、库表结构的变更记录。二、系统的日常运行维护由专人负责,定期进行保养,并检查系统运行日志。 1.对于应用程序级别的备份需要有运维部制定工程师做每周的备份,重大变更前要整体做备份。 2.对于操作系统的日志备份要通过定制计划任务定期执行,并有制定人员检查运行情况,并登记在案。 3.对于数据库系统的日志备份有DBA制定计划任务定期执行,并有DBA人员检查运行情况,并登记在案。 三. 各级维护部门应针对所维护系统,依据数据变动的频繁程度以及
业务数据重要性制定备份计划,经过上级维护主管部门批准后组织实施。 四. 备份数据应包括系统软件和数据、业务数据、操作日志。 五.重要系统的运行日志要定期异地备份。 说明:出在本地备份,每天晚上同步到异地机房。 六.对系统的操作、使用要进行详细记录。 七.各级维护部门应按照备份计划,对所维护系统进行定期备份,原则上对于在线系统应实施每天一次的增量备份、每月一次的数据库级备份以及每季度一次的系统级备份。对于需实施变更的系统,在变更实施前后均应进行数据备份,必要时进行系统级备份。 八. 各级维护部门应定期对备份日志进行检查,发现问题及时整改补救。 备份操作人员须检查每次备份是否成功,并填写《备份工作汇总记录》,对备份结果以及失败的备份操作处理需进行记录、汇报及跟进。 九.备份介质应由专人管理,与生产系统异地存放,并保证一定的环境条件。除介质保管人员外,其他人员未经授权,不得进入介质存放地点。介质保管应建立档案,对于介质出入库进行详细记录。对于承载备份数据的备份介质,应确保在其安全使用期限内使用。对于需长期保存数据,应考虑通过光盘等方式进行保存。对于有安全使用期限限制的存储介质,应在安全使用期限内更换,确保数据存储安全。
查看服务器日志可以干什么 2008-11-30 18:40 一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35: 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close表示关闭连接 TCP:表示使用的协议是Tcp 4959:表示本地的端口 80:表示远程的端口。注:如果此处的端口为非80、21等常用端口那你就要注意了。 每一条Open表示的记录对应的有一条CLOSE记录,比较两条记录可以计算连接的时间。 注意,要使用该项,需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。 二、通过IIS日志检测入侵攻击 1、认识IIS日志 IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式 2005-01-0316:44: -;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+ 2005-01-0316:44:57:是表示记录的时间; ; GET:表示获取网页的方法 /Default.aspx:表示浏览的网页的名称,如果此外的内容不是你网站网页的名称,那就表示可能有人在用注入 式攻击对你的网站进行测试。如:“/msadc/..蜡..蜡.. 蜡../winnt/system32/cmd.exe/c+dir”这段格式的 文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。-80:表示服务器的端口。 -
就要注意了。 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+ 操作系统的版本信息 200:表示浏览成功,如果此处为304表示重定向。如果此处为404则表示客户端错误未找到网页,如果服务器没 有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。 2、检测IIS日志的方法 明白了IIS日志的格式,就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不可能的,所以 我们可以利用Windows本身提供了一个命令findstr。下面以寻找05年1月1日日志中包含CMD字段为例演示 一下它的用法。IIS日志路径已设为D\w3c Cmd提示符下输入:findstr"cmd"d\w3c\ex050101.log回车。怎么同一个IP出现了很多,那你可要注意了! 下面是我写的几个敏感字符,仅供参考,你可以根据自己系统、网页定制自己的敏感字符,当然如果你根据 这些字符作一个批处理命令就更方便了。 cmd、'、\\、..、;、and、webconfig、global、 如果你感觉findstr功能不够直观强大,你可以AutoScanIISLogFilesV1.4工具。它使用图形化界面 一次可以检测多个文件。下载地址:/View-Software-1585.html 如果你感觉这些IIS日志中的信息记录还不够多,那么你可以做一个隐藏网页,凡是登陆到网站上都会先定向到 该网页,然后你可以在该网页中添加代码,获取用户的IP、操作系统、计算机名等信息。并将其输入到数据库 中,这样即使一个攻击者使用动态的IP只要他不换系统,即使删除了IIS日志,你也可以把他找出来。 三、通过查看安全日志检测是否有成功的入侵 如果你你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成功的入侵都将 在安全日志中留下痕迹 推荐的作法: 1、建议每天最少检查一次安全日志。