Đối với bất kỳ hệ thống nào, công việc giám sát, theo dõi hoạt động của hệ thống thường xuyên nhằm tìm ra những xung đột, bất ổn, những thay đỗi , các vấn đề ghi nhận về Bảo mật, các vấn dề liên quan đến phần cứng, ứng dụng…, và Admin thông qua đó có thể dự đoán trước các vấn đề nhằm có những phương cách thích hợp trong quản trị hệ thống, xử lý các sự cố và kiểm soát chặt chẽ các vấn đề bảo mật, về giám sát tài nguyên, nâng cấp hệ thống v.v.. Một số công cụ có sẵn giúp chúng ta thực hiện việc giám sát này
Làm việc với Windows XP/ Server 2003 Event Logs
Event logs là các file hệ thống, lưu trữ các thông tin về những sự kiện quan trọng xảy ra trên Computer của bạn.
Các file lưu trữ event logs có đuôi mở rộng là .evt và được chứa trong Folder %systemroot%System32Config (trên XP Pro là WindowsSystem32Config ), nếu có quyền Admin của Computer khác hoặc với tư cách Domain Admin có thể dùng công cụ Event Viewer tại menu Administrative Tools để remote đến Computer ấy và xem Event Logs.
Trên Windows XP Professional có mặc định 3 logs khác nhau:
· Application log ghi lại các sự kiện phát sinh từ một số ứng dụng đặc biệt và một số dịch vụ (services) của Windows XP Professional. Các chuyên viên lập trình ứng dụn sẽ xác đinh xem sự kiện nào phát sinh sẽ được đưa vào Application log.
· Security log sẽ ghi lại các sự kiện liên quan đến vấn đề bảo mật, thường administrator phải cấu hình log này để xác định xem sự kiện bảo mật nào sẽ được ghi nhật ký (audit), ví dụ như ai đã log-on vào hệ thống, ai truy cập vào folder C:data, ai chỉnh sữa…. Nếu Admin chưa tạo audit policy, log này hoàn toàn trống.
· System log sẽ ghi lại các sự kiện phát sinh bởi các thành phần hệ thống.Ví dụ ghi lại một sự kiện “driver hoặc service bị failed trong quá trình tải”.Các bạn có thể dùng lệnh Compmgmt.msc , tại Run để mở Event Viewer
Chú ý: Ngoài 3 logs mặc định vừa nêu trên, các Windows computers có thể có thêm các logs như DNS log (nếu Windows Server này cài thêm service DNS. Nếu là máy chủ domain controllers có thể có thêm một số logs đặc biệt như Active Directory log.
Application và System logs thường chứa các thông điệp dưới 3 dạng: Information, Warning, và Error từ mức độ thống tin, cảnh báo cho đến lỗi đã xảy ra. Đối với Security log sau khi được cấu hình (do enable Audit Policy), sẽ chứa các mục nhập (entry) là Success Audit và Failure Audit. Mỗi entry như vậy sẽ bao gồm các thông tin như bảng sau:
Chúng ta thấy xuất hiện những thông báo:
(thông tin mô tả): Phần lớn các sự kiện là Information, dưới dạng các thông tin mô tả
Ví dụ như dịch vụ Service Control Monitor đã start và hoạt động bình thường sẽ được ghi lại
(cảnh báo): Xảy ra khi một hoạt động bất thường nào đó được khám phá, nhưng mọi hoạt động liên quan đến dịch vụ vẫn không bị failed.
Ví dụ dịch DHCP client service trên XP Pro này phát ra cảnh báo khi phải sử dụng địa chỉ APIPA (169.254.x.x) do không nhận được địa chỉ Ip từ DHCP Server trong quá trình tự động cập nhật.
(lổi đã xảy ra): Hoạt động bị failed.
Ví dụ Dịch vụ Netlogon service thông báo lỗi khi không tìm thấy domain controller, phục vụ cho việc log-on của User vào domain
Tuy nhiên cũng cần nhận ra rằng, không phải bất kỳ thông báo Error hay Warning, cũng đều là vần đề nghiêm trọng. Bảng dưới đây mô tả các cảnh báo thường phát sinh
Quản lý các Event Logs
Xem Log thế nào cho hiệu quả
Lấy Sytem Logs làm ví dụ, các bạn cũng thấy hệ thống đã lưu trữ hàng trăm, hàng ngàn, đặc biệt trên các Server thì nhiều vô kể (vì logs Server thường có dung lượng lớn, lưu trữ có khi lên đến hàng GB hoặc TB các sự kiện )
Việc tìm kiếm các sự kiện trong logs cần phải nhanh và xác định chính xác cái cần tìm. Hãy nhìn một System logs dài và vô số các thông báo, các bạn như lạc giữa rừng
Theo kinh nghiệm thì các bạn nên chọn chức năng Filter (lọc sự kiện), để lọc ra những sự kiện quan tâm nhất, theo loại sự kiện, ngày tháng…
Trong ví dụ này, tôi muốn lọc ra tất cả những sự kiện liên quan đến DHCP trên XP Pro.
Chọn View, chọn Filter
Sau đó chọn Event types: Bao gồm tất cả Information Warning, Error..
Event Source: Dhcp
Từ ngày 6.7 đến 10.7 mà Logs đã ghi
Click Ok để có bảng tập hợp tất cả dhcp events
Sau khi có bảng collection này, tôi chọn View, chọn tiếp Find và tìm đích xác events sự cố mà tôi quan tâm có ID event 1002
Chọn tiếp Find Next để tìm lần lượt các sự kiện với số ID 1002
Sau khi tìm đích xác một sự kiện, bạn có thể xem thông tin chi tiết về nó, bằng cách right-click vào event, chọn Properties
Các thông tin diễn giải tại đây có thể giúp bạn định hướng để giải quyết sự cố này. Hoặc có thể click vào link để gửi thông tin lỗi đến bộ phận Help and Support của Microsoft.
Nếu cảm thấy chưa hài lòng với Event Views của Microsoft vì dường như các thông tin chi tiết về lỗi còn khá hạn chế và chưa nêu ra được giải pháp khắc phục lỗi, các bạn có thể dùng phần mềm Event Sentry, dùng thử tại đây
http://www.snapfiles.com/reviews/EventSentry_Light/eventsentry.html
Sau khi setup và mở chương trình, các bạn thấy Event Sentry chứa toàn bộ các logs từ event viewer và có thể xem chi tiết thông tin từng sự kiện, kèm những website nào có thể đưa ra giải pháp khắc phục lỗi… Event Sentry còn cung cấp nhiều tính năng giám sát khác, Và đặc biệt còn có tính năng thông báo các sự kiện lỗi qua e-mail cho Admin
Double-click vào một event error, sẽ thấy
Khung màu xanh cho thấy, bạn có nhiều lựa chọn để truy cập vào các Website đưa ra giải pháp cho lỗi này. Ví dụ tôi chọn Microsoft.com, và chọn Search
Kết quả…Website thông tin lỗi này và cách khắc phục chỉ rõ tận tình
Ngoài ra, còn nhiều công cụ quản lý Event logs, kèm nhiều chức năng quản trị hệ thống và mạng rất hiệu quả như:
EvenReporter http://www.eventreporter.com/en/
Hyena http://systemtools.com/
Làm thế nào thay đổi các thuộc tính của Event Logs
Nếu không thích tên mặc định của logs hệ thống là System, muốn tăng dung lượng lưu trữ log và các xác lập khác có thể Right-click vào log đó và Properties
Lưu trữ các Event Logs
Việc lưu trữ nhằm mục đích xem lại, đề phòng khi hệ thống “failed” hoặc event log mới ghi đè lên các sự kiện cũ ..
Right-click logs chọn Save log file as..
Có 3 định dạng lưu trữ:
Event Log .evt là mặc đinh và dùng Event View để xem
Định dạng text .txt (dùng các ứng dụng xem text)
Định dạng .csv (dùng Excel để xem)
Xóa Logs
Khi log file đầy, bạn có thể xóa nên cẩn thận lưu trữ log trước khi xóa:
Chọn Clear All Events.
Nếu chưa lưu, click Yes để lưu log trước khi xóa, ngược lại click No.
Bật chức năng Auditing (ghi nhận các sự kiện bảo mật) như thế nào
Tại Run chúng ta dùng lệnh secpol.msc để mở snap-in quản lý các xác lập bảo mật của hệ thống
Sau đó chọn Local Policies và Audit Policy, các xác lập về các sự kiện Security sẽ được ghi nhận, xuất hiện khung phải.
Những sự kiện để ghi nhận là:
• Audit account logon events
Ghi nhận những sự kiện cụ thể như: một User từ xa log-on vào máy tính này, hoặc log-off khỏi máy tính này (Netowrk log-on, Log-off). Và tất nhiên máy tính này thẩm định các tài khoản khi từ xa log-on, log-off vào.
Đối với việc ghi nhận một sự kiện có thể chọn ghi nhận các sự kiện thành công (success: User từ xa log-on/ log-off vào thành công), hoặc thất bại (failure: User từ xa log-on/ log-off vào thất bại) hoặc chọn ghi cả 2 success và failure
• Audit account management
Ghi nhận những sự kiện cụ thể về việc quản lý account trên một máy tính, bao gồm:
• Một tài khoản user hoặc group đã được tạo mới, bị thay đổi hay xoá.
• Một tài khoản User bị đổi tên, disabled, hay enabled.
• Một password được thiết đặt, hay được thay đổi.
• Audit directory service access
Không có ý nghĩa trên các workstation và Server, chỉ dùng cho Domain controllers. Ghi nhận những sự kiện cụ thể khi một User truy cập vào các đối tượng trong Active directory domain theo quyền xác lập trên đối tượng đã cung cấp cho User -system access control list (SACL).
• Audit logon events
Ghi nhận những sự kiện cụ thể như: một user log-on vào máy này, log-off khỏi máy này (log-on, log-off locally), hoặc từ xa tạo một kết nối Mạng đến máy này. Nếu bật ghi nhận các sự kiện log-on Success trên máy chủ Domain controller, thì khi máy trạm Workstation log-on vào domain làm việc (phải thông qua Domain controller xác thực) hành động này Audit sẽ không ghi lại. Chỉ khi nào các hành động tương tác trực tiếp (interactive) và log-on từ xa vào domain controller (Network logon) sự kiện mới được ghi nhận.
Có thể chọn ghi nhận Success/Failure hoặc cả 2
• Audit object access
Ghi nhận những sự kiện cụ thể như : một User truy cập vào một đối tượng như một file, folder, registry key, printer…theo như quyền xác định cho user trên mỗi đối tượng -system access control list (SACL).
• Audit policy change
Ghi nhận những sự kiện cụ thể như : thay đổi các chính sách về cấp phát quyền cho User (user rights assignment), các chính sách về ghi nhận sự kiện (audit policies), hoặc các chính sách tin cậy (trust policies)
• Audit privilege use
Ghi nhận các sự kiện về việc một User sử dụng đặc quyền (User rights) của mình ngoại trử những User right sau, dù bạn có bật ghi nhận sư kiện (success hay failure, Audit vẫn không ghi nhận)
• Bypass traverse checking
• Debug programs
• Create a token object
• Replace process level token
• Generate security audits
• Back up files and directories
• Restore files and directories
• Audit process tracking
Ghi nhận cụ thể về việc theo dõi các thông tin của những sự kiện như: kích hoạt chương trình (program activation), thoát khỏi quy trình đang hoạt động (process exit), gián tiếp truy cập các đối tượng..
• Audit system events
Ghi nhận những sự kiện cụ thể ví dụ như: một user restarts hoặc shuts down computer hoặc khi một sự kiện xảy ra làm tác động đến bảo mật hệ thống..
RefLink: http://ceh.vn/ceh3/index.php?option=com_content&view=article&id=113:giam-sat-hot-ng-ca-windowxp-va-server-2003&catid=16:tin-bo-mt&Itemid=105