开始” —— “运行” —— 输入 secpol.msc (或者控制面板——管理工具)

本地策略 —— 策略审核

对重要事件进行审核记录,方便日后出现问题时查找根源。

审核策略:

审核策略更改       成功,失败
审核登录事件         成功,失败
审核对象访问        失败
审核进程跟踪成功,失败
审核目录服务           失败
审核特权使用           失败
审核系统事件         成功,失败
审核账户登陆事件         成功,失败
审核帐户管理           成功,失败

调整事件日志的大小及覆盖策略

日志安全设置

设置方法:“开始” —“运行”输入 eventvwr.msc

增大日志小,避免由于文件容量过小导致重要记录遗漏

日志类型 日志大小 覆盖策略
应用程序 80000KB覆盖早于 30 天的日志
安全日志 80000 KB覆盖早于 30 天的日志
系统日志 80000 KB覆盖早于 30 天的日志

在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以使用日志 系统 所记录的信息为系统进行排错,优化的性能,或者根据这 些信息调整系统的行为。在安全领域,日志系统的重要地位尤甚,可以说是安全审计方面最主要的工具之一。