中级通信互联网技术知识点精讲之基于安全日志的检测

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之基于安全日志的检测，希望能帮助学友们。具体内容如下：

       基于安全日志的检测

       如果入侵行为被iis日志记录，则基于ns日记可以监测相应的入侵行为。但是，iis曰志并不能记录所有的痕迹，在某种情况下甚至不能记录来自80端口的入侵。IIS只有在一个诮求完成后才会写入日志，如果一个请求中途失败（指从TCP层上没有完成HTTP请求，例如POST大量数据时异常中断日志文件中就不会有记录，入侵者就有可能绕过曰志系统完成大量的活动。

       对于非Web主机，入侵者也可以从其他服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

       Windows2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录。但是，默认安装下安全审核是关闭的，这种主机被攻击后根本没法追踪入侵者。因此.我们要做的第一步是配置安全审计。

       选择“管理工具”、“本地安全策略”-“本地策略”-“审核策略”命令，打开必要的审核。

       对审核事件的配置涉及记录的数据量，选择过多，数据量将剧增，过少就达不到检测要求。一般来说，“登录事件”与“账户管理”是我们最关心的事件，同时打开“成功”和“失败”审核非常必要，其他的审核也要打开失败审核。除了配置安全审核事件，还要适当配置曰志的大小和覆盖时限，否则，入侵者可以在真正入侵以后，大量伪造入侵请求覆盖掉以前的记录。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的曰志。

       设置了安全日志，还需要制定一个安全日志的检查机制，养成好的检査习惯。推荐的检査时间是每天上午，因为入侵者喜欢夜间行动。上班第一件事最好看看曰志有没有异常。

       除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹（如果他拿到了Admin权限，那么他一定会去清除痕迹的），在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲