监视事件日志

《监视事件日志》由会员分享，可在线阅读，更多相关《监视事件日志（19页珍藏版）》请在装配图网上搜索。

1、第9章 监视事件日志第9章 监视事件日志本章概述作为企业网管的工作职责之一就是帮助用户解决问题和解决服务器端发生的问题，可是很多问题用户只能简单描述无法启动或者运行不正常，如果询问更加细节一些的内容，用户由于并不会都是计算机专业毕业因此无法给出具体描述，同样对于服务器管理也是一样，如何在发现问题后能够及时找到问题的原因这些都可以通过事件日志来分析得来，同时出于安全性考虑同样配置事件日志分析得来，本章就事件日志的定义、使用场景、配置方法、日志分析等几个方面展开探讨。教学目标l 描述在企业中为什么需要使用 Windows 2000 中监视事件l 介绍在企业中如何监视安全事件l 介绍如何在企业中如何

2、分析安全事件l 介绍在企业中如何监视系统和应用程序事件l 介绍如何利用的查看事件日志中的事件进行相关问题分析l 掌握如何在企业中管理事件日志教学重点l 在企业中会面临一些问题你会进行电话咨询如何解决一些服务器故障，那么其中有一些内容是必须要提及的，其中事件日志的 ID和内容就是必须的，但是对于学生而言，一般不大习惯查看事件日志，所以这里需要介绍一定的事件日志应用场景，所以要重点介绍l 事件日志所划分的类型，其中安全事件，可以通过实例进行介绍l 监视日志是其中的一个难点，需要花费一定时间进行介绍l 通过管理事件日志对整章内容进行总结教学难点l 为什么需要使用监视事件l 事件监视的意义l 管理事件

3、日志中有哪些需要注意的部分教学资源课本知识点9.1 监视事件日志的介绍9.2 监视安全事件9.3 分析安全事件9.4 监视系统和应用程序事件9.5 查看事件日志9.6 管理事件日志9.7 最佳实践实验实验A 监视事件日志习题习题1-对应知识9.3分析安全事件习题2-对应知识9.2监视安全事件习题3-对应知识9.3分析安全事件习题4-对应知识9.6管理事件日志教师光盘实验文件教师光盘: mocwin2028alabfiles习题解答教师光盘:Tprepansweranswer2.doc课外阅读教师光盘:Pdf09.pdf教学指导手册包新版幻灯片Powerpnt 2028A_09.PPT先修知识在

4、正式开始学习本章内容以前，学生须具备下列知识基础。知识基础推荐补充用户知识第二章 设置用户账户权限概念第四章 管理文件资源打印机权限相关配置第六章 管理打印机资源NTFS第七章 管理数据存储建议学时课堂教学（4课时）+实验教学（2课时）教学过程9.1 监视事件日志的介绍教学提示 ：本节主要达到三个目的。l 了解在企业中为什么需要记录事件日志（精讲）l 了解事件日志中常见的名词（略讲）l 了解在企业中管理事件日志的流程（略讲+演示）教学内容教学方法教学提示讲授：首先我想先调查一下大家如果计算机出现问题常见分析问题和解决问题的方法是什么，有没有同学使用过事件查看器来进行故障排除过的或者使用启动计算

5、机时候发现提示XXX事件被记录在事件日志中？通过以上描述介绍所谓在解决问题时候的“顺藤摸瓜”，那么事件日志在这里就是起了这样的作用，大家在以后工作中如果遇到技术问题可以向微软中国区技术支持寻求帮助，对方主要提供电话支持，一般这些技术支持人员在听你描述相关问题的同时都会询问是否有异常日志发生，甚至需要你提交相关日志内容，希望通过以上描述能够帮助学生建立事件日志在企业日常管理中是非常重要的。通过以上内容介绍，我们了解到事件日志是非常重要的，那么事件日志都会记录哪些信息？常规情况下 Windows 2000会记录相关安全、系统和应用程序的日志，其中有几个名词需要大家了解，第一个就是事件，第二个名词就

6、是事件日志；第三个就是事件查看器，通过这些名词的了解，可以掌握什么是事件，事件如何记录在事件日志中，如何通过事件查看器了解到事件日志中都发生了什么事情，这样就比较方便的介绍完成9.1中相关内容。课堂提问：请大家浏览控制面板中的服务配置选项，查看事件日志是否需要哪个服务启动才能进行相关记录？参考答案：eventlog，通过介绍这个服务，教师应该了解到如果在演示或实验中无法得到相关日志，可能是相关服务没有启动。阅书：9.1幻灯：第3页本节考点：理解什么是Windows2000的事件；理解Windows2000事件的主要3个类型的含义；理解日志的含义，掌握日志的三种存档文件特点参考：HOW TO：在

7、 Microsoft Windows 2000 中用事件查看器诊断系统问题http:/ 提示：教师可以介绍微软技术支持流程，例如微软中国区技术支持、微软全球技术支持中心、免费技术支持电话：8008203800，通过以上内容帮助学生建立实际企业管理经验，以上相关详细内容可以在微软网站查询得到（）教学演示：建议教师可以打开演示计算机中的事件查看器演示其中包含的内容。讲授：既然事件日志这么重要，因此企业当中需要及时归档，什么叫归档，大家应该了解在银行中是所有的业务都需要归档，为什么需要这样，因为有可能会需要查询几年前的某笔业务，所以在分析和管理事件日志时候需要留意如何进行相关归档和备份。阅书：9.1

8、(4)幻灯：第3页课堂提问：目前有很多黑客工具可以用来猜测用户密和密码，通过前面的学习，管理员帐号是非常重要的帐号，除了设置复杂密码之外，如何通过其他方式进行相关的安全防范？提示：通过安全日志进行查看，引出9.2监视安全事件的内容。小结：我们在前面已经掌握了一些故障排除方法，因此从本章开始介绍如何通过事件日志来进行相关系统故障分析和安全问题的分析，正所谓“小猫吃小鱼”，有头有尾，这里也是给出大家一个事件日志的相关概念，在后续几个小节中，我们会陆续介绍事件日志的使用。提示：可以介绍专门有查看事件日志的网站：9.2 监视安全事件教学提示 ：本节主要达到四个目的。l 掌握事件日志和审核之间的关系(精

9、讲演示)l 掌握在企业中可以针对哪些内容进行审核配置（略讲+演示）l 介绍在企业中如何通过安全日志查看审核后的结果。（精讲+演示）l 了解常见安全事件的类型（略讲+演示）教学内容教学方法教学提示讲授：通过前面的课堂提问，我们了解到可以通过安全日志来抓“黑客”，可是大家都看过电影，发现很多银行或者非常重要的地方都是会通过很多设备来抓“黑客”，我们在抓“黑客”之前也需要设置类似的陷阱，这样即使无法在现场抓黑客，也可以抓住黑客的蛛丝马迹，这就是我们首先需要介绍的审核，必须首先设置审核我们才能进行相关安全事件的记录。 阅书：9.2.1幻灯：第6页本节考点：深入理解什么是Windows2000审核，以及

10、审核和安全日志的关系；熟悉在不同需求下审核的特点和设置方法； 讲授：介绍常见的安全审核项目内容：l 已执行的操作l 执行操作的用户l 事件发生的时间以及成功与否换句话说就是审核可以帮助我们确定是否查看用户是否访问某个指定了系统访问控制列表 (SACL) 的对象（例如，文件、文件夹、注册表项、打印机等）的事件；常见的介绍场景就是通过审核确定在什么时间段有哪位用户被进行了字典攻击的扫描。阅书：9.2.1幻灯：第6页课堂演示：开启审核，注意相关步骤：以管理员身份登录，依次单击“开始”、“控制面板”，双击“管理工具”，然后再双击“本地安全策略”。讲授：通过上面的讲解我们可以了解到审核可以针对具有系统访

11、问控制列表的对象，那么下面就具体给大家描述其中每一项内容，首先是针对文件和文件夹的访问，在介绍这部分内容之前，我先给大家一个场景帮助大家了解为什么需要设置文件和文件夹上的审核，通过前面章节的介绍，知道在企业中通常会设置一个文件服务器，大家可以在文件服务器上面放置共享文件夹或文件，但是如果有人恶意删除某些文件或文件夹，你作为网络管理员不可能总是站在每个人的计算机旁边，因此如何抓住这些用户就是你需要解决的事情，这就是针对文件或文件夹审核的意义。但是我们需要强调在上一节介绍的概念 SACL必须在 NTFS分区上才能实现，所以如果无法配置，也不要着急，请查看当前系统分区，考虑到上一章介绍的磁盘配额，加

12、密，我们建议文件服务器都采用 NTFS分区阅书9.2.2幻灯：第7页注意：由于现在配置审核是在组策略中配置，如果教师演示的实验环境是在一个森林下可能由于组策略刷新时间不到而导致组策略无法生效，以下列出组策略刷新时间：工作站或服务器上，缺省设置为每隔 90 分钟应用，而在域控制器上为每隔 5 分钟应用。无论作何更改，每隔 16 个小时都会强制刷新此设置。课堂演示：演示左边讲授中实现审核的背景讲授：下面介绍为什么需要针对打印机进行审核，例如你发现晚上的用户进行打印比白天多很多，尽管已经明文规定不允许利用公司的纸张做私人用途，但是发现仍然无法禁止，因此你希望每个用户在打印时候就能够被记录，从而发现都

13、有哪些用户在晚上进行打印，通过场景理解为什么需要对打印机进行审核，再介绍能够审核哪些内容就比较容易。阅书：9.2.2(2)幻灯：第7页课堂演示：可以通过演示左边介绍的场景帮助学生理解相关内容。小技巧：可以安装虚拟打印机来完成相关演示和练习。讲授：针对 Active Directory的审核比较难以理解，主要原因就是学生对于域的操作较少，为了帮助学生理解，教师可以举出在第一章的比喻，例如域就像一个国家，那么现在中国有审计局，在 Active Directory 中同样也可以完成类似的功能，就是针对 Active Directory中的对象进行审核。阅书：9.2.2(3)幻灯：第7页课堂提示：如果

14、将对象访问的审核作为审核策略的一部分，则必须打开审核目录服务访问类别（为审核域控制器上的对象）或审核对象访问类别（为审核成员服务器上的对象）。一旦打开对象访问类别，就可以为每组或每个用户指定要审核的访问类型讲授：在进行相关审核记录时候，我们可以设置记录什么类型，举个例子就像非典时期，每个从外地返回本地的用户都需要进行记录，这就是记录所有用户访问关于成功或失败的内容，非典结束时期基本上就只记录体温超过一定度数的游客，这样记录的数量就大大减少了，也方便查找。这里主要介绍如果用户登录时候不管密码是正确还是错误都可以被记录，但是如果只希望访问黑客，可以只记录失败的访问。阅书：9.2.2.(4)幻灯：第

15、7页课堂演示：开启审核记录，通过对比介绍记录成功和失败有何区别。讲授：通常我们在路上看到一些图标，红色通常表明警告，那么在事件查看器中查看日志也是一样，我们可以首先通过查看图标就知道哪些是我们所需要的，通常情况下我们只关心错误和警告，而对于信息内容都会忽视，这样通过查看图标就可以知道记录的大致内容，避免一一打开进行查看，节省了大量的时间，注意理解“成功审核事件”和“失败审核事件”产生的原因。阅书：9.2.3幻灯：第8页课堂演示：通过配置审核策略，查看系统中相关安全事件策略的图标和对应来源。讲授：介绍常见安全事件类型，这也是在企业中常见的需要审核的内容。阅书：9.2.4幻灯：第9页提示：要审核本

16、地对象，必须以 Administrators 组的成员登录小结：介绍通常被进行审核的事件类型包括： 访问对象，例如文件和文件夹 用户和组帐户的管理 用户登录以及从系统注销时我们可以针对这些对象进行相关成功或失败记录进行审核，系统会通过不同颜色图标进行提示。9.3 分析安全事件教学提示 ：本节主要达到三个目的。l 掌握如何前一节产生的安全日志（精讲演示）。l 掌握如何查找特定的安全事件，从而减少日常管理时间l 介绍常见安全事件产生的原因（精讲演示）。教学内容教学方法教学提示讲解：什么是安全事件审核，关于这部分内容在前面几节一直在介绍，例如记录非法用户的登录，这里先做一个常见应用场景总结：例如当用

17、户试图访问机密文件或文件夹时。当审核某个对象时，无论何时，只要以某种方式访问该对象，就会在 Windows 2000 安全日志中写入一个条目。由管理员确定要审核的对象、要审核谁的操作以及要审核哪些类型的操作。一旦设置了审核，就可以跟踪访问某些对象的用户，并分析安全漏洞。用来记录所选择事件的审核跟踪，可以表明是谁执行了该操作以及是谁试图执行未被许可的操作，记录多了，就产生新的问题，如何快速有效的进行分析，这就是本节需要介绍的内容。阅书：9.3.1幻灯：第12页本节考点：熟悉安全事件的分类方法；熟练掌握通过分析安全事件解决系统安全问题的方法讲授：首先给出安全事件的定义，然后介绍如何进行分析，分析什

18、么样的事件（成功、失败），针对分析得出的结果给出企业员工应该注意的内容。阅书：9.3.1(5)幻灯：第12页课堂提示：为了帮助学生树立审核全局的关念，教师可以介绍审核的相关步骤，最后在总结时候明确一下，在本节主要介绍当前介绍的内容在安全审核中所处的步骤：1. 必须打开要审核的事件类别。用户登录注销和帐户管理就是事件类别的典型例子。选定的事件类别组成了审核策略。第一次安装 Windows 2000 时，没有选中任何类别，也就没有强制的审核策略。在“计算机管理”列出了可以审核的事件类别。2. 其次，必须设置安全日志的大小和行为。 3. 最后，如果管理员已经选择了审核目录服务访问类别或审核对象访问类

19、别，则必须确定要监视访问的对象并相应地修改其安全描述符。例如，如果要审核用户为打开特定文件所做的尝试，可以针对特定事件在该文件上直接设置成功或失败属性，同时进行相关分析和设置基准线，分析为什么会产生相关问题，应该如何进行解决。课堂演示：建议教师配置审核策略，分别针对安全的、失败的事件进行分析，也可以利用课后实验中提供的实验文件进行分析，再把每个流程介绍，学生比较容易接受。讲授：通过上述介绍的内容和教师的演示，我们发现存在什么问题，大家应该可以发现就是日志太多了，我们必须一条一条进行查看，其实这里有个小技巧，就是前面已经介绍过的内容，看图标，锁和钥匙代表不同的内容，我们给大家介绍常见的发生原因是

20、什么阅书：9.3.2幻灯：第13页小结：课堂提问：如果审核策略指定审核文件和文件夹，并且文件的属性指定对该文件删除失败的事件进行审核，那么，用户每次删除该文件失败的操作是否会出现在安全日志上？参考答案：会从这个问题我们可以了解学生对于安全事件是否了解。9.4 监视系统和应用程序事件教学提示 ：本节主要达到三个目的。l 掌握什么是系统和应用程序日志。l 理解如何利用系统和应用程序日志进行相关故障排查l 掌握事件查看器中常见的图标含义教学内容教学方法教学提示讲解：在介绍安全事件的查看时候我们可以发现还有其他类别就是系统和应用程序日志，当然如果是域控制器还有 DNSServer等日志，这里我们首先看

21、看什么是系统日志和应用程序日志。 阅书：9.4.1幻灯：第16页本节考点：熟悉系统日志、应用程序日志的内容；熟悉应用程序和系统事件的3种级别的信息；讲解：首先是系统日志：阅书：9.4.1(1)幻灯：第16页小技巧：书中提及的“网络登录服务”net start net logon可以在命令行状态启动“网络登录服务”。讲解：下面看看什么是“应用程序日志”，首先给出一个图例：这是一个关于 Office 的Visio的产生的错误的日志信息，我们可以了解到问题发生的时间、地点、产生日志的错误源，那么这么错误日志由什么程序进行记录，这就是书中提及的Dr.Watson。参考知识：书中提及Dr.Watson，

22、下面针对这个概念进行相关概念补充：安装 Windows 时，就会将 Dr.Watson (Drwtsn32.exe) 安装到系统文件夹中。首次运行 Dr.Watson 时（即出现程序错误时或用户亲自启动 Dr.Watson 时），会设置默认选项。当 Windows 中出现程序错误时，系统将搜索错误处理程序。程序错误处理程序处理程序运行过程中出现的错误。如果系统找不到程序错误处理程序，系统将验证是否该程序当前没有被调试，并认为错误没有被处理。如果系统找不到程序错误处理程序，系统将验证是否该程序当前没有被调试，并认为错误没有被处理。然后系统通过在“注册表编辑器”中查找程序错误调试程序来处理尚未处理

23、的错误。系统在“注册表编辑器”的注册表项 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAeDebug 下查找名为 Debugger 和 Auto 的项。Debugger 项的值指定了调试程序将要用来分析程序错误的命令。如果找到了调试程序项的值，系统将查看 Auto 项的值是设置为 0 还是 1。如果 Auto 项的值设置为 0，系统将产生一个消息框，通知您发生了程序错误。如果“调试程序”项的值指定了有效调试程序所使用的命令，消息框将显示两个按钮：“确定”和“取消”。如果单击“确定”，程序将终止。如果单击“取消”，系统将启

24、动指定的调试程序。如果“调试程序”项的值为空，消息框将只显示“确定”，并且不启动任何调试程序。 如果 Auto 项的值设置为 1，并且调试程序项的值指定了有效调试程序所使用的命令，系统将自动启动该调试程序，并且不会产生消息框。 当在系统上安装 Windows 时，默认情况下 Auto 项的值设置为 1，并且调试程序项的值指定了启动 Dr.Watson 的命令。这意味着当出现程序错误时，Dr.Watson for Windows 将自动诊断错误，并记录相应的诊断信息。如果您使用的默认调试程序不是 Dr.Watson，而又要换用 Dr.Watson，请在命令提示符后键入命令 drwtsn32 -i

25、 来启动 Dr.Watson。键入 -i 可对注册表进行必要的更改。讲解：简单了解了系统日志和应用程序日志，那么如何快速有效的查看系统日志和应用程序日志，同系统日志使用一样，我们还是可以通过日志图标来进行查看，下面看看哪些日志图标：1. “i”图标表示信息事件2. 黄色三角形图标表示警告事件3. 而红圆圈中一个白色的“”图标表示错误事件阅书：9.4.1(3)幻灯：第17页课堂提示：建议打开演示计算机的事件日志查看器通过具体图解进行介绍，如果没有演示计算机，建议教师抓图到幻灯片中进行相关演示讲解讲授：作为系统管理员必须清楚知道事件的类型，以便于根据事件类型来采取相应的管理操作。这里详细的事件类型

26、请看课本的表格9-4。阅书：9.4.2幻灯：第17页讲解：课堂提问：如何防止本地来宾组访问安全日志？参考答案：计算机配置Windows 设置安全设置事件日志事件日志设置，这个问题也可以扩展成为如何防止本地来宾组访问系统日志。为什么需要防止，主要出于安全性的考虑。课堂提示：通过课堂提问复习系统日志和应用程序日志的安全策略设置。小结：介绍了什么是事件日志和什么是系统、应用程序、安全日志，希望学生通过以上介绍掌握之间的区别和使用方法。9.5 查看事件日志教学提示 ：本节主要达到三个目的。l 如何使用事件查看器。l 如何利用事件查看器在众多日志记录中查找所需要的事件l 掌握事件日志的筛选教学内容教学方

27、法教学提示讲解：俗话说的好“兵欲善其事，必先利其器”，我们可以通过诸多的设置把相关的内容放置在日志中，可是如何快速使用就是本节介绍的内容，进行相关演示前还是需要明确使用事件查看器的目的：事件查看器显示的有关事件的信息包括事件类型、事件发生的日期和时间、事件的来源、事件的分类、事件 ID、事件发生时登录的用户以及事件发生所在的计算机。事件日志可以帮助您确定和诊断当前系统问题的根源，或帮助预测潜在的系统问题阅书：9.5.1幻灯：第20页课堂演示：建议教师通过本地和远程方式进行事件查看器的查看。讲解：由于前面内容中已经介绍了本地事件查看器的使用，这里主要介绍如何远程查看其他计算机的日志，这里注意相关

28、权限即可讲解：尽管前面我们已经介绍了可以通过图标快速查看错误和警告日志，但是如果日志条目众多的话还是需要不停的滚动，如果学生学习过 Excel，那么就简单提示学生我们可以使用筛选功能就能够快速筛选我们需要的信息，如果希望回到原先的状态，只需要取消筛选即可。那么类似查找也是一样，就是相关查找条件需要进行明确，这部分内容可以看书。阅书：9.5.2幻灯：第21页课堂演示：演示如何进行相关日志筛选、日志查找、和取消筛选、如果演示计算机日志不够多，可以提前归档一部分日志进行查看。小结：通过前面几节的描述，我们掌握了事件日志的意义，掌握了常见的安全、系统、应用程序日志，本节系统介绍了如何使用事件查看器管理

29、日志。9.6 管理事件日志教学教学提示 ：本节主要达到三个目的。l 如何限制事件日志文件的大小。l 如何指定保留日志数据的天数l 如何进行日志存档教学内容教学方法教学提示讲授：由于事务日志可以容纳的内容非常之多，因此相关数据增长也是非常快，数据多可能导致查找数据缓慢以及打开事件查看器比较缓慢，因此我们需要进行相关日志大小限制。阅书：9.6幻灯：第23页本节考点：熟悉管理日志的方法和注意事项，区分不同日志存档格式的不同用途；理解用日志存档统计打印机使用量的原理讲授：配置日志大小需要注意日志的最小值和最大值，最大值注意为 4GB，这里需要提醒学生设置不当导致日志数据丢失可能会对我们的数据分析造成很

30、大的影响。阅书：9.6.1幻灯：第24页课堂演示：打开事件查看器进行相关日志大小设置，并进行相关解释。参考：如果由于系统分区空间不足，可以移动日志所在的位置，但是微软不建议这么操作，事务日志对应注册表键值是：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog讲授：归档的重要性就如同我们备份重要文件一样，具体操作可以看演示，这里存在一个常见的操作错误就是：归档后的日志文件重新被事件查看器打开时候无法打开，常见原因是用事件查看器打开归档日志时候需要指定类别。阅书：9.6.2幻灯：第25页小技巧：我们也可以通过Windows 2000

31、Resource Kit 工具中的Logevent.exe 来进行日志的自定义，具体命令行格式是：logevent -m computername-s severity-c categorynumber-r source-e eventID-t timeoutevent text具体使用方法可以参考微软知识库文章：3154109.7 最佳实践教学提示 ：本节主要达到以下目的。l 掌握事件日志管理管理和应用的注意事项教学内容教学方法教学提示讲授：介绍在进行日志管理中应该注意的事项， 通过以下问题可以考察学生能够利用系统中提供的信息通过日志来排错，同时也可以复习前面章节学习过的内容课堂提问：如果用

32、户发现如下日志提示信息，请问可能原因是什么？事件 ID: 4320来源:NetBT描述:另一台计算机发送名称释放消息到这台计算机。可能是因为在 TCP 网络上检测出有重复名称。发送消息的节点的 IP 地址在数据中。请在命令窗口中使用 nbtstat -n 来查看哪一个名称在冲突状态。参考答案： 网络上有一台同名计算机。 同一用户名登录到了多台计算机。 在 Windows Internet 名称服务 (WINS) 数据库中有非活动或重复的名称。 “动态主机配置协议”(DHCP) 数据库中有损坏数据。 多主计算机中的网络适配器有冲突。 ipconfig /all 命令会返回一个不正确的主机名。阅书

33、：9.7幻灯：第28页参考：课堂提问对应的问题可以参考微软知识库文章：315259总结经过本章的学习，我们了解了下列的知识和内容。l 能够掌握配置 Windows 2000 中监视事件的方法l 能够掌握如何监视、分析和管理安全事件l 能够掌握如何监视系统和应用程序事件l 能够掌握如何快速查看事件日志中的事件l 掌握如何有效管理管理事件日志在第十章中，我们将介绍本书的最后一章备份和恢复随堂练习1 如果需要对单机运行Windows 2000的计算机上的应用程序异常处理代码事件进行日志记录，以下哪种日志是最佳方案？A. Windows事件日志B. 自定义日志文件C. 数据库如SQL Server 2

34、000D. 邮件提醒正确答案：A（没有网络可以连接到数据库以及传输SMTP消息。）2 应该使用什么应用程序查看审计信息？A. 审计日志查看器B. 日志查看器C. 事件查看器D. 审计查看器正确答案：C（审计信息记录在事件查看器的安全日志中，其他应用程序不存在。）3 如何跟踪用户对敏感文件的访问？A. 在Local Security Settings控制台中对成功和失败的进程进行跟踪审计B. 在Local Security Settings控制台中对失败的对象访问进行跟踪审计C. 在Local Security Settings控制台中对成功的对象访问进行跟踪审计D. 对包含安全文件的文件夹进行

35、审计，审计活动如成功的内容列表/数据读取和创建/写文件数据等。正确答案：C，D4 网络中的Print Spooler服务不能正常运行，需要通过记录打印活动进行故障排除，如何做到这一点？A. 查看系统日志B. 查看应用程序日志C. 查看系统安全日志D. 查看网络中的服务器日志正确答案：A（系统日志记录磁盘驱动器和操作系统事件，如Netlogon服务，Print Spooler服务等。）5 以下哪些安全设置选项不能通过组策略编辑器（Group Policy Editor）进行设置？A. 事件日志B. 注册表C. 账户策略D. 审计正确答案：D（审计是通过本地策略进行设置。）置作业1. 完成书后习题1-42. 预习书中所有实验，并填写操作步骤。在实验课上准备操作实验课备注本节课需要使用实验文件，因此在实验前需要讲师准备好相关实验文件。19