25、Windows Server 2008 审计与活动目录域服务安全设计

Windows Server 2008 审计与活动目录域服务安全设计

1. 事件查看器（Event Viewer）

在 Windows Server 2008 中，事件查看器（Event Viewer）这一用于分析事件的主要工具相较于之前的版本有了显著改进。和之前版本一样，当选择一个日志时，事件查看器会显示事件列表，并且可以通过点击列标题对多个字段进行排序。在 Windows Server 2008 的事件查看器中，还能以同样的方式对事件进行分组。

1.1 事件分组操作步骤

• 要理解事件分组，可以进行一个简单实验：在事件列表中右键点击“任务类别”列的标题，选择“按此列分组事件”。事件查看器会稍作处理，然后将所有事件按子类别分组。
• 若再次右键点击“任务类别”标题，选择“折叠所有组”，会看到如特定示例所示的效果。

1.2 日志过滤操作步骤

• 要过滤日志，在事件查看器左窗格中右键点击日志名称，选择“过滤当前日志”，会弹出“过滤当前日志”对话框。
• 首先，仅选择 Windows 审核事件。这些事件的源名称为“Microsoft - Windows - Security - Auditing”，在 Windows Vista 中显示为“Security - Auditing”。展开“事件源”以显示事件源列表，勾选该事件源旁边的框，然后点击列表外部。
• 接着，缩小过滤范围，仅包含“登录”子类别事件。由于审核策略中的子类别对应事件查看器中的“任务类别”，点击“任务类别”字段旁边的展开列表（向下箭头）按钮，然后选择“登录”任务类别旁边的复选框，