NT的审计规则如下(既可以审计成功的操 作,又可以审计失败的操作): ◆登录及注销登录及注销或连接到网络。 ◆文件及对象访问:访问设置用于文件或 目录审计的目录或文件的用户向设置用 于打印机审计的打印机发送打印作业用 尸
NT 的审计规则如下 既可以审计成功的操 作 又可以审计失败的操作 ♦登录及注销:登录及注销或连接到网络 ♦文件及对象访问 访问设置用于文件或 目录审计的目录或文件的用户向设置用 于打印机审计的打印机发送打印作业用 户
◆用户及组管理:创建、更改或删除用户 帐号或组;重命名、禁止或启用用户号; 或者设置和更改密码。 ◆安全性规则更改:对用户权利,审计或 委托关系规则的改动。 ◆重新启动、关机及系统:用户重新启动 或关闭计算机;或者发生了一个影响系 统安全性或安全日志的事件
♦用户及组管理 创建 更改或删除用户 帐号或组 重命名 禁止或启用用户号 或者设置和更改密码 ♦安全性规则更改 对用户权利 审计或 委托关系规则的改动 ♦重新启动 关机及系统 用户重新启动 或关闭计算机 或者发生了一个影响系 统安全性或安全日志的事件
◆进程追踪:这些事件提供了关于事件的 详细跟踪信息,如程序活动,某些形式 句柄的复制,间接对象的访问和退出进 程 对于“文件及对象访问”中的文件和目 录的审计还需要在资源管理器中对要审 计的目录或文件具体进行设置
♦进程追踪 这些事件提供了关于事件的 详细跟踪信息 如程序活动 某些形式 句柄的复制 间接对象的访问和退出进 程 对于“文件及对象访问”中的文件和目 录的审计还需要在资源管理器中对要审 计的目录或文件具体进行设置
◆文件和目录审计允许您跟踪目录和文件 的用法。对于一个具体的文件或目录, 可以指定要审计的组、用户或操作。既 可以审计成功的操作,又可以审计失败 的操作。 ◆审计目录可以选择下列事件:读、写、 执行、删除、更改权限、获得所有权
♦文件和目录审计允许您跟踪目录和文件 的用法 对于一个具体的文件或目录 可以指定要审计的组 用户或操作 既 可以审计成功的操作 又可以审计失败 的操作 ♦审计目录可以选择下列事件 读 写 执行 删除 更改权限 获得所有权
NT日志文件 名称: 6/WINNT/SYSTEM32/CONFIG ◆ SysEvent evt ◆ Secevent evt AppEvent evt 打开工具 程序管理工具/事件查看器
NT 日志文件 名称 /WINNT/SYSTEM32/CONFIG/ ♦ SysEvent.evt ♦ SecEvent.evt ♦ AppEvent.evt 打开工具 程序/管理工具/事件查看器