摘要：Windows Server 2008系统凭借其超强的系统功能、较高的智能化程度以及更甚一筹的安全性能，吸引了很多朋友创建条件前来尝鲜试用。

第1页:启用配置审核功能 第2页:查看审核功能记录

　　查看审核功能记录
　　
　　启用、配置好合适的审核策略后，WindowsServer2008系统就会自动对特定类型的操作进行跟踪、记录，并将记录内容保存到对应系统的日志文件中了，以后网络管理员可以根据日志内容，寻找服务器系统中是否存在安全威胁。在查看审核功能记录下来的日志内容时，我们必须借助事件查看器功能来完成，下面就是查看审核功能记录的具体操作步骤：
　　
　　首先以超级管理员权限进入WindowsServer2008系统，依次单击该系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令，打开对应系统的服务器管理器控制台窗口;
　　
　　其次在该控制台窗口的左侧显示区域中，将鼠标定位于“诊断”分支选项，并从该分支选项下面依次点选“事件查看器”/“Windows日志”子项，在目标子项下面我们会看到“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”这五个类别的事件记录;
　　
　　用鼠标选中某个类别选项时，我们就能清楚地看到对应类别下的所有事件记录，再用鼠标双击指定的记录选项时，就能打开目标事件记录的详细信息界面，在该界面中我们就可以详细查看到目标事件的来源、具体的事件内容、事件ID以及其他相关信息等。
　　
　　发现重要的事件内容时，我们还可以对其执行一些操作;比方说，为了日后有空时能对重要事件内容进行仔细分析，我们可以将重要事件内容先保存起来，以防止清理日志时被意外删除掉，在保存重要事件内容时，我们只要用鼠标右键单击目标事件内容，从弹出的快捷菜单中执行“将事件另存为”命令，之后设置好保存路径以及具体的文件名称，再单击“保存”按钮就可以了，日后只需要再执行右键菜单中的“打开保存的日志”命令，就能将以前保存好的日志文件调用出来了。要是发现服务器系统中保存的事件内容太多时，我们应该定期执行右键菜单中的“清除日志”命令来清空日志记录，以便腾出更多的宝贵空间资源。在日志记录较多的情况下，要想快速寻找自己想要的事件记录是一件不容易的事情，此时我们不妨执行“筛选当前日志”命令来对日志记录进行筛选。
　　
　　实战应用审核功能
　　
　　审核功能在现实环境中对WindowsServer2008系统尤为重要，因为服务器系统在局域网环境中很容易受到攻击，网络管理员可以利用审核功能来对各种攻击行为进行跟踪监控，遇到有潜在安全威胁的事件发生时，我们可以想方设法地将审核功能监控到的事件内容通知给网络管理员，网络管理员就能立即查明事件原因，并对症下药地解决问题，从而保障服务器系统不受非法攻击了。
　　
　　例如，一些木马程序常常会在服务器系统中偷偷创建用户账号，以便窃取服务器系统的超级管理员权限，此时我们可以通过用户账号监控来确定服务器系统中究竟是否存在非法用户账号，然后进一步确定究竟是哪一个用户账号是非法账号。需要说明的是，要想让WindowsServer2008系统自动将非法账号创建的事件通知给网络管理员时，必须确保对应系统的TaskScheduler服务处于正常的运行状态。
　　
　　首先依次单击WindowsServer2008系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，执行字符串命令“secpol.msc”，打开服务器系统的本地安全策略控制台窗口;
　　
　　其次在该控制台窗口的左侧显示区域，依次展开“安全设置”、“本地策略”、“审核策略”分支选项，在对应“审核策略”分支选项的右侧显示区域中，双击“审核账户管理”策略选项，打开策略选项设置对话框，选中“成功”和“失败”选项，再单击“确定”按钮关闭策略选项设置对话框，这样一来无论用户账户创建成功还是创建失败，WindowsServer2008系统都会自动记录下用户账号创建事件;
　　
　　为了把用户账号创建事件内容自动通知给网络管理员，我们还需要针对该事件附加执行自动报警的任务计划。在附加自动报警任务时，我们先依次单击WindowsServer2008系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令，打开对应系统的服务器管理器控制台窗口;在该控制台窗口的左侧区域依次点选“诊断”/“事件查看器”/“Windows日志”/“系统”子项，再从“系统”子项下面找到创建用户账号事件，如果找不到该事件内容时，我们还需要采用手工方法随意在服务器系统中创建一个用户账号，这样一来用户账号创建事件就会出现在事件查看器中了。
　　
　　用鼠标右键单击用户账号创建事件，从弹出的快捷菜单中执行“将任务附加到此事件”意创建一个用户账号时，WindowsServer2008系统屏幕上立即出现了一个自动报警提示窗口，告诉网络管理员说“服务器系统中可能有非法账号被创建，请网络管理员立即处理相关事件!”，这就意味着此时有人在服务器系统中偷偷命令，打开任务计划添加向导对话框，之后设置好新任务的名称，例如这里我们将新任务取名为“自动报警用户账号创建情况”，当屏幕上出现如图5所示的设置对话框时，选中“显示消息”选项，再设置好需要报警的标题与内容，在这里我们将标题设置为“自动报警用户账号创建情况”，将报警内容设置为“服务器系统中可能有非法账号被创建，请网络管理员立即处理相关事件!”最后单击“完成”按钮，这样一来WindowsServer2008系统日后就能把审核功能记录下来的用户账号创建情况自动报告给网络管理员了。
　　
　　当我们尝试通过远程桌面方式在服务器系统中随创建用户账号了，网络管理员根据这个自动报警提示信息，就能在第一时间采取措施来解决相关问题，从而保障WindowsServer2008服务器系统不受非法攻击了。
　　
　　责任编辑：关晓晨