编辑: lonven | 2013-04-06 |
具体操作: 首先需要开启对象访问的审核(Audit object access),开启方法在Win 2000以及Win XP方法相同 鼠标左键单击 开始菜单(运行 在弹出的对话框中输入secpol.msc,并鼠标左键点击确定按钮 如下窗口将被显示 鼠标左键双击窗口左边字段元的本地策略(Local Policies) 鼠标左键单击审核策略(Audit Polity) 鼠标左键双击窗口右边字段元中的对象访问审核(Audit object access) 鼠标左键单击成功(Success)以及失败(Failure)的选项框,将选项勾选 鼠标左键单击确定后,对象访问审核(Audit object access)即被开启 重复6和7两个步骤,将审核账户登录事件(Audit accout logon events)与审核登录事件(Audit logon events)两项开启. 设置具体被审核的对象,以下步骤Win 2000与Win XP有细微的区别,以下以设定System32的目录中档写入举例,介绍设置方法: Win 2000下的设置方法 首先打开资源管理器,选中System32目录 使用鼠标右键单击system32档夹,并在弹出菜单中鼠标左键选择属性(Properties) 在弹出的对话框中鼠标左键选择安全(Security)选项卡 鼠标单击对话框下方的高级(Advanced…)按钮,并在弹出的对话框中鼠标左键选择审核(Audit)选项卡 点击添加(Add…)按钮,在上部的对话框中鼠标左键双击Everyone条目 在弹出的对话框中按照下图所示,进行设置,并按确定完成设定 Win XP下的设置方法 首先打开资源管理器,选中System32目录 使用鼠标右键单击system32档夹,并在弹出菜单中鼠标左键选择属性(Properties) 在弹出的对话框中鼠标左键选择安全(Security)选项卡 鼠标单击对话框下方的高级(Advanced…)按钮,并在弹出的对话框中鼠标左键选择审核(Audit)选项卡 点击添加(Add…)按钮,在输入框中输入Everyone并鼠标左键点击 在弹出的对话框中按照下图所示,进行设置,并按确定完成设定 查看审核日志 在设定了指定目录中生成文件的审核后,当有文件在该目录中生成时,会产生相关的安全事件日志,该日志可以通过事件查看器(Event Viewer)查看 鼠标左键单击 开始菜单(运行 在弹出的对话框中输入eventvwr.msc,并鼠标左键点击确定按钮 如下窗口将被显示 鼠标左键单击安全(Security)项目即可在窗口的右边字段元查看当前所有的安全事件记录 也可以选择将安全日志导出发送给他人进行分析 鼠标右键点击安全(Security),在弹出的菜单中鼠标左键选择 将日志文件保存为 在弹出的对话框中指定保存路径及保存文件名,鼠标左键单击保存(Save)按钮即可完成保存