前言本文件描述 N-Reporter 使用者如何使用 Open Source 工具 NXLOG 管理配置 Windows Server 2003/2008/2012 的日志 (Eventlog), 将事件 (Event) 转成 syslog, 再转发到 N-Reporter 做正规化审核与分析

0 如何使用 NXLOG 管理配置 Windows Server 日志 V 1.1.3 ( 简体 ) 0 (01-01-02-017) 2015/06/23

前言本文件描述 N-Reporter 使用者如何使用 Open Source 工具 NXLOG 管理配置 Windows Server 2003/2008/2012 的日志 (Eventlog), 将事件 (Event) 转成 syslog, 再转发到 N-Reporter 做正规化审核与分析本文件配置的环境分别为 Windows Server 2003 Windows Server 2008 Windows Server 2012 N-Reporter 同时提供 Eventlog to Syslog Utility 和 NXLOG 两种将事件 (Event) 转 syslog 的配置文件, 其中 NXLOG 拥有较佳的效能, 适用于记录大量事件的环境当 Windows Server 所有日志 (Eventlog) 每秒最大记录速率超过 700 笔, 请选用本文 NXLOG 的配置文件文件章节如下 1 配置 Windows Server... 2 1.1 配置 Windows Server 2003... 2 1.2 配置 Windows Server 2008... 5 1.3 配置 Windows Server 2012... 9 2 Windows 2003 Server 审核设置... 13 2.1 设置本机登录注销的审核策略... 13 2.2 设置本机共享文件夹权限与审核策略... 17 3 Windows 2008 Server 审核设置... 26 3.1 设置本机登录注销的审核策略... 26 3.2 设置本机共享文件夹权限与审核策略... 31 4 Windows 2012 Server 审核设置... 39 4.1 设置本机登录注销的审核策略... 39 4.2 设定共享文件夹权限与审核策略... 43 连络信息... 44 1

2 1 配置 Windows Server 1.1 配置 Windows Server 2003 1. 下载 NXLOG: 浏览 URL:http://nxlog.org/products/nxlog-community-edition/download 下载最新版 nxlog-ce-x.x.xxxx.msi, 本例下载 nxlog-ce-2.9.1347.msi 2. 安装 NXLOG: 鼠标双点 nxlog-ce-2.9.1347.msi, 左点 [ Install ], 执行安装 3. 下载 Windows 2003 NXLOG 配置文件 nxlog_win2k3.conf: 浏览 URL:http://www.npartnertech.com/download/tech/nxlog_win2k3.conf 编辑 NXLOG 配置文件 "C:\Program Files (x86)\nxlog\conf\nxlog.conf": 注 :32 位操作系统 NXLOG 安装在 "C:\Program Files\nxlog\conf\nxlog.conf" 64 位系统 NXLOG 安装在 "C:\Program Files (x86)\nxlog\conf\nxlog.conf" 将 nxlog_win2k3.conf 设定贴上并覆盖 nxlog.conf 设定此设定只输出主机登录对象访问帐户管理等 eventlog, 过滤大部分噪声, 减少 NXLOG 对 Windows Server 效能的负担 Windows Server 的 eventlog 每秒写入笔数超过 700 笔, 建议使用 nxlog_win2k3.conf 设定 4. 下载 Windows 2003 NXLOG 输出全部 eventlog 配置文件 nxlog_win2k3_all.conf: 浏览 URL:http://www.npartnertech.com/download/tech/nxlog_win2k3_all.conf N-Reporter 提供法规报表统计 Windows Server 所有 eventlog 用户若是需 Windows Server 的法规报表, 请将 nxlog_win2k3_all.conf 设定贴上并覆盖 nxlog.conf 设定此设定会输出所有 eventlog, Windows Server 需要较高的效能跑 NXLOG ( 接下页 ) 2

## This is a sample configuration file. See the nxlog reference manual about the ## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html ## Please set the ROOT to the folder your nxlog was installed into, ## otherwise it will not start. #define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension syslog> Module xm_syslog </Extension> <Input in_eventlog> # For windows 2003 and earlier use the following: Module im_mseventlog Exec parse_syslog_bsd(); \ if ($EventID == 672 or $EventID == 673 or $EventID == 675 or $EventID == 528 or $EventID == 529 or $EventID == 538 or $EventID == 540 or $EventID == 551 or $EventID == 560 or $EventID == 612 or $EventID == 624 or $EventID == 626 or $EventID == 627 or $EventID == 628 or $EventID == 629 or $EventID == 630 or $EventID == 631 or $EventID == 632 or $EventID == 633 or $EventID == 634 or $EventID == 635 or $EventID == 636 or $EventID == 637 or $EventID == 638 or $EventID == 641 or $EventID == 642 or $EventID == 645 or $EventID == 646 or $EventID == 647) { $SyslogFacilityValue = 13; } \ else if ($SourceName == "Service Control Manager") { $SyslogFacilityValue = 13; } \ else if ($SourceName =~ /^MSSQL*/) { $SyslogFacilityValue = 18; } \ else\ {\ drop();\ } </Input> <Output out_eventlog> Module om_udp Host 192.168.2.64 Port 514 Exec $Message = string($eventid) + ": " + $Message; Exec if ($EventType == 'ERROR' or $EventType == 'AUDIT_FAILURE') { $SyslogSeverityValue = 3; } \ else if ($EventType == 'WARNING') { $SyslogSeverityValue = 4; } \ else if ($EventType == 'INFO' or $EventType == 'AUDIT_SUCCESS') { $SyslogSeverityValue = 5; } Exec to_syslog_bsd(); </Output> <Route eventlog> Path in_eventlog => out_eventlog </Route> 绿色部位请选择 NXLOG 正确的安装路径, 本例环境为 32 位系统选择 "define ROOT C:\Program Files\nxlog" 红色部位输入 N-Reporter IP, 本例输入 "192.168.2.64" 3

4 配置范例如下 : 5. 启动 NXLOG: 步骤 a : 利用 [ 命令提示符 ] 启动 NXLOG 或步骤 b : [ 服务 ] 启动 NXLOG a. [ 开始 ] [ 所有程序 ] [ 附件 ], 鼠标右点 [ 命令提示符 ], 左点 [ 运行方式 ], 以系统管理员身分执行命令提示符输入 : net stop nxlog net start nxlog b. [ 开始 ] [ 所有程序 ] [ 管理工具 ] [ 服务 ], 右点服务 [ nxlog ], 左点 [ 启动 ] 或 [ 重新启动 ] 6. 检查 NXLOG 是否正常启动 : 检查 NXLOG 的 log 檔 "C:\Program Files (x86)\nxlog\data\nxlog.log", 没有显示 Error 的信息, 表示正常启动 7. 新增 Windows Server 2003 设备时语系选择 : Windows Server 2003 繁体版请选择 [ BIG5 ] 编码 Windows Server 2003 简体版请选择 [ GB2312 ] 编码 Windows Server 2003 英文版请选择 [ UTF8 ] 编码注 : 因 NXLOG 没有 Eventlog to Syslog Utility 将事件编码转成 UTF8 编码的功能, 所以新增 Windows Server 2003 设备时请注意语系选择, 避免出现乱码 8. 新增 Windows Server 2003 设备时 Facility 请选择 "(13) log audit" 4

1.2 配置 Windows Server 2008 1. 下载 NXLOG: 浏览 URL:http://nxlog.org/products/nxlog-community-edition/download 下载最新版 nxlog-ce-x.x.xxxx.msi, 本例下载 nxlog-ce-2.9.1347.msi 2. 安装 NXLOG: 鼠标双点 nxlog-ce-2.9.1347.msi, 左点 [ Install ], 执行安装 3. 下载 Windows 2008 NXLOG 配置文件 nxlog_win2k8.conf: 浏览 URL:http://www.npartnertech.com/download/tech/nxlog_win2k8.conf 编辑 NXLOG 配置文件 "C:\Program Files (x86)\nxlog\conf\nxlog.conf": 注 :32 位操作系统 NXLOG 安装在 "C:\Program Files\nxlog\conf\nxlog.conf" 64 位系统 NXLOG 安装在 "C:\Program Files (x86)\nxlog\conf\nxlog.conf" 将 nxlog_win2k8.conf 设定贴上并覆盖 nxlog.conf 设定此设定只输出主机登录对象访问帐户管理等 eventlog, 过滤大部分噪声, 减少 NXLOG 对 Windows Server 效能的负担 Windows Server 的 eventlog 每秒写入笔数超过 700 笔, 建议使用 nxlog_win2k8.conf 设定 4. 下载 Windows 2008 NXLOG 输出全部 eventlog 配置文件 nxlog_win2k8_all.conf: 浏览 URL:http://www.npartnertech.com/download/tech/nxlog_win2k8_all.conf N-Reporter 提供法规报表统计 Windows Server 所有 eventlog 用户若是需 Windows Server 的法规报表, 请将 nxlog_win2k8_all.conf 设定贴上并覆盖 nxlog.conf 设定此设定会输出所有 eventlog, Windows Server 需要较高的效能跑 NXLOG ( 接下页 ) 5

6 ## This is a sample configuration file. See the nxlog reference manual about the ## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html ## Please set the ROOT to the folder your nxlog was installed into, ## otherwise it will not start. #define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension syslog> Module </Extension> xm_syslog <Input in_eventlog> # For windows 2008/vista/7/8/2012/2012r2 and latter use the following: Module im_msvistalog ReadFromLast TRUE SavePos TRUE Query <QueryList> \ <Query Id="0"> \ <Select Path="Security">*[System[(EventID=4768)]]</Select> \ <Select Path="Security">*[System[(EventID=4769)]]</Select> \ <Select Path="Security">*[System[(EventID=4771)]]</Select> \ <Select Path="Security">*[System[(EventID=4624)]]</Select> \ <Select Path="Security">*[System[(EventID=4625)]]</Select> \ <Select Path="Security">*[System[(EventID=4634)]]</Select> \ <Select Path="Security">*[System[(EventID=4647)]]</Select> \ <Select Path="Security">*[System[(EventID=4648)]]</Select> \ <Select Path="Security">*[System[(EventID=4656)]]</Select> \ <Select Path="Security">*[System[(EventID=4719)]]</Select> \ <Select Path="Security">*[System[(EventID=4720)]]</Select> \ <Select Path="Security">*[System[(EventID=4722)]]</Select> \ <Select Path="Security">*[System[(EventID=4723)]]</Select> \ <Select Path="Security">*[System[(EventID=4724)]]</Select> \ <Select Path="Security">*[System[(EventID=4725)]]</Select> \ <Select Path="Security">*[System[(EventID=4726)]]</Select> \ <Select Path="Security">*[System[(EventID=4727)]]</Select> \ <Select Path="Security">*[System[(EventID=4728)]]</Select> \ <Select Path="Security">*[System[(EventID=4729)]]</Select> \ <Select Path="Security">*[System[(EventID=4730)]]</Select> \ <Select Path="Security">*[System[(EventID=4731)]]</Select> \ <Select Path="Security">*[System[(EventID=4732)]]</Select> \ <Select Path="Security">*[System[(EventID=4733)]]</Select> \ <Select Path="Security">*[System[(EventID=4734)]]</Select> \ <Select Path="Security">*[System[(EventID=4735)]]</Select> \ <Select Path="Security">*[System[(EventID=4737)]]</Select> \ <Select Path="Security">*[System[(EventID=4738)]]</Select> \ <Select Path="Security">*[System[(EventID=4739)]]</Select> \ <Select Path="Security">*[System[(EventID=4741)]]</Select> \ <Select Path="Security">*[System[(EventID=4742)]]</Select> \ 6

</Input> </QueryList> <Select Path="Security">*[System[(EventID=4743)]]</Select> \ <Select Path="System">*[System[(EventID=7036)]]</Select> \ <Select Path="Application">*[System[(EventID=18454)]]</Select> \ <Select Path="Application">*[System[(EventID=18456)]]</Select> \ </Query> \ <Output out_eventlog> Module om_udp Host 192.168.2.64 Port 514 Exec $Message = string($sourcename) + ": " + string($eventid) + ": " + $Message; Exec if ($EventID == 18454 or $EventID == 18456 ) { $SyslogFacilityValue = 18; } \ else { $SyslogFacilityValue = 13; } Exec if ($EventType == 'ERROR' or $EventType == 'AUDIT_FAILURE') { $SyslogSeverityValue = 3; } \ else if ($EventType == 'WARNING') { $SyslogSeverityValue = 4; } \ else if ($EventType == 'INFO' or $EventType == 'AUDIT_SUCCESS') { $SyslogSeverityValue = 5; } Exec to_syslog_bsd(); </Output> <Route eventlog> Path in_eventlog => out_eventlog </Route> 绿色部位请选择 NXLOG 正确的安装路径, 本例环境为 64 位系统选择 "define ROOT C:\Program Files (x86)\nxlog" 红色部位输入 N-Reporter IP, 本例输入 "192.168.2.64" 7

8 配置范例如下 : 5. 启动 NXLOG: 步骤 a : 利用 [ 命令提示符 ] 启动 NXLOG 或步骤 b : [ 服务 ] 启动 NXLOG a. [ 开始 ] [ 所有程序 ] [ 附件 ], 鼠标右点 [ 命令提示符 ], 左点 [ 以系统管理员身分执行 ] 命令提示符输入 : net stop nxlog net start nxlog b. [ 开始 ] [ 所有程序 ] [ 管理工具 ] [ 服务 ], 右点服务 [ nxlog ], 左点 [ 启动 ] 或 [ 重新启动 ] 6. 检查 NXLOG 是否正常启动 : 检查 NXLOG 的 log 檔 "C:\Program Files (x86)\nxlog\data\nxlog.log", 没有显示 Error 的信息, 表示正常启动 7. 新增 Windows Server 2008 设备时 Facility 请选择 "(13) log audit" 8

1.3 配置 Windows Server 2012 1. 下载 NXLOG: 浏览 URL:http://nxlog.org/products/nxlog-community-edition/download 下载最新版 nxlog-ce-x.x.xxxx.msi, 本例下载 nxlog-ce-2.9.1347.msi 2. 安装 NXLOG: 鼠标双点 nxlog-ce-2.9.1347.msi, 左点 [ Install ], 执行安装 3. 下载 Windows 2012 NXLOG 配置文件 nxlog_win2012.conf: 浏览 URL:http://www.npartnertech.com/download/tech/nxlog_win2012.conf 编辑 NXLOG 配置文件 "C:\Program Files (x86)\nxlog\conf\nxlog.conf": 注 :32 位操作系统 NXLOG 安装在 "C:\Program Files\nxlog\conf\nxlog.conf" 64 位系统 NXLOG 安装在 "C:\Program Files (x86)\nxlog\conf\nxlog.conf" 将 nxlog_win2012.conf 设定贴上并覆盖 nxlog.conf 设定此设定只输出主机登录对象访问帐户管理等 eventlog, 过滤大部分噪声, 减少 NXLOG 对 Windows Server 效能的负担 Windows Server 的 eventlog 每秒写入笔数超过 700 笔, 建议使用 nxlog_win2012.conf 设定 4. 下载 Windows 2012 NXLOG 输出全部 eventlog 配置文件 nxlog_win2012_all.conf: 浏览 URL:http://www.npartnertech.com/download/tech/nxlog_win2012_all.conf N-Reporter 提供法规报表统计 Windows Server 所有 eventlog 用户若是需 Windows Server 的法规报表, 请将 nxlog_win2012_all.conf 设定贴上并覆盖 nxlog.conf 设定此设定会输出所有 eventlog, Windows Server 需要较高的效能跑 NXLOG ( 接下页 ) 9

10 ## This is a sample configuration file. See the nxlog reference manual about the ## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html ## Please set the ROOT to the folder your nxlog was installed into, ## otherwise it will not start. #define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension syslog> Module </Extension> xm_syslog <Input in_eventlog> # For windows 2008/vista/7/8/2012/2012r2 and latter use the following: Module im_msvistalog ReadFromLast TRUE SavePos TRUE Query <QueryList> \ <Query Id="0"> \ <Select Path="Security">*[System[(EventID=4768)]]</Select> \ <Select Path="Security">*[System[(EventID=4769)]]</Select> \ <Select Path="Security">*[System[(EventID=4771)]]</Select> \ <Select Path="Security">*[System[(EventID=4624)]]</Select> \ <Select Path="Security">*[System[(EventID=4625)]]</Select> \ <Select Path="Security">*[System[(EventID=4634)]]</Select> \ <Select Path="Security">*[System[(EventID=4647)]]</Select> \ <Select Path="Security">*[System[(EventID=4648)]]</Select> \ <Select Path="Security">*[System[(EventID=4656)]]</Select> \ <Select Path="Security">*[System[(EventID=4719)]]</Select> \ <Select Path="Security">*[System[(EventID=4720)]]</Select> \ <Select Path="Security">*[System[(EventID=4722)]]</Select> \ <Select Path="Security">*[System[(EventID=4723)]]</Select> \ <Select Path="Security">*[System[(EventID=4724)]]</Select> \ <Select Path="Security">*[System[(EventID=4725)]]</Select> \ <Select Path="Security">*[System[(EventID=4726)]]</Select> \ <Select Path="Security">*[System[(EventID=4727)]]</Select> \ <Select Path="Security">*[System[(EventID=4728)]]</Select> \ <Select Path="Security">*[System[(EventID=4729)]]</Select> \ <Select Path="Security">*[System[(EventID=4730)]]</Select> \ <Select Path="Security">*[System[(EventID=4731)]]</Select> \ <Select Path="Security">*[System[(EventID=4732)]]</Select> \ <Select Path="Security">*[System[(EventID=4733)]]</Select> \ <Select Path="Security">*[System[(EventID=4734)]]</Select> \ <Select Path="Security">*[System[(EventID=4735)]]</Select> \ <Select Path="Security">*[System[(EventID=4737)]]</Select> \ <Select Path="Security">*[System[(EventID=4738)]]</Select> \ <Select Path="Security">*[System[(EventID=4739)]]</Select> \ <Select Path="Security">*[System[(EventID=4741)]]</Select> \ <Select Path="Security">*[System[(EventID=4742)]]</Select> \ 10

12 配置范例如下 : 5. 启动 NXLOG: 步骤 a : 利用 [ Windows PowerShell ] 启动 NXLOG 或步骤 b : [ 服务 ] 启动 NXLOG a. 鼠标左点 [ 开始 ], 鼠标右点 [ Windows PowerShell ], 左点 [ 以管理员身分运行 ] [ Windows PowerShell ] 输入 : net stop nxlog net start nxlog b. 鼠标左点 [ 开始 ] [ 管理工具 ] [ 服务 ], 右点服务 [ nxlog ], 左点 [ 启动 ] 或 [ 重新启动 ] 6. 检查 NXLOG 是否正常启动 : 检查 NXLOG 的 log 檔 "C:\Program Files (x86)\nxlog\data\nxlog.log", 没有显示 Error 的信息, 表示正常启动 7. 新增 Windows Server 2012 设备时 Facility 请选择 "(13) log audit" 12

2 Windows 2003 Server 审核设置本章节说明的 Windows 2003 Server 本地审核策略, 这里的本地是指该主机为独立主机, 并不属于任何的域主要说明以下操作设置 : 1. 设置本机登录注销的审核策略 2. 设置本机共享文件夹权限与审核策略请记得安装 NXLOG, 详细请参阅第一章节 2.1 设置本机登录注销的审核策略设置步骤如下 : 1. 以管理员 Administrator 登入 Windows 2003 Server 点选 [ 开始菜单 / 所有程序 / 管理工具 / 本地安全策略 ] 13

14 2. 点选 [ 本地策略 / 审核策略 ] 3. 定义下列的原则设置值 : (1) 审核登录事件 : 双击 [ 审核登录事件 ], 勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 14

(2) 审核账户登录事件 : 双击 [ 审核账户登录事件 ], 勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 15

16 (3) 审核对象访问 : 双击 [ 审核对象访问 ], 勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 成功 : 若欲稽核成功事件的 Log, 请勾选 [ 成功 ] 复选框失败 : 若欲稽核失败事件的 Log, 请勾选 [ 失败 ] 复选框注 : 若 Windows 2003 Server 不做文件服务器审核 (File server audit), 建议不审核对象访问, 请直接跳过 2.1 中 (3) 与 2.2 的设置, 只需完成 2.1 的 (1)(2) (4) (5) 步骤的设置, 以避免 Windows 审核多余的对象访问 (Object access) 审核的安全事件此多余且事件冗长的安全事件转成 syslog 后发送给 N-Reporter 接收, 会影响效能 (performance) 16

2.2 设置本机共享文件夹权限与审核策略设置步骤如下 : 1. 在欲共享的文件夹上点击鼠标右键, 点选 [ 属性 ] 2. 点选 [ 共享 ] 索引卷标, 圈选 [ 共享此文件夹 ] 点选 [ 权限 ] 3. 用户设置 : (1) 点选 [ 添加 ] (2) 点选 [ 位置 ], 选择本机计算机名称 (3) 输入用户账号, 本例输入 Everyone 审核所有用户 (4) 设置完成后按 [ 确定 ] 17

18 4. 设置用户权力 : (1) 点选用户账号, 本例选择 Everyone 审核所有用户 (2) 勾选允许 [ 完全控制 ] 及 [ 更改 ] 权限 (3) 设置完成后按 [ 确定 ] 5. 安全性设置 : (1) 点选 [ 安全性 ] 索引卷标 (2) 点选 [ 添加 ] (3) 点选 [ 位置 ], 选择本机计算机名称 (4) 输入用户账号, 本例输入 Everyone 审核所有用户 (5) 设置完成后按 [ 确定 ] 18

6. 设置用户权力 : (1) 点选用户账号, 本例选择 Everyone 审核所有用户 (2) 勾选允许 [ 完全控制 ] 权限, 以取得所有权限 (3) 设置完成后按 [ 应用 ] 19

20 7. 高级安全设置设置 : (1) 点选 [ 高级 ] (2) 点选 [ 审核 ] 索引卷标 (3) 点选 [ 添加 ] (4) 点选 [ 位置 ], 选择本机计算机名称 (5) 输入用户账号, 本例选择 Everyone 审核所有用户 (6) 设置完成后按 [ 确定 ] 20

8. 审核项目设置 : 勾选所有审核项目的 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 9. 在高级安全设置配置完成后, 点选 [ 确定 ] 21

22 10. 在分享文件夹设置完成后, 点选 [ 确定 ] 22

11. 点选 [ 开始菜单 / 所有程序 / 管理工具 / 计算机管理 ] 23

24 12. 点选 [ 系统工具 / 共享文件夹 / 共享 ] 24

13. 双击该分享文件夹, 点选 [ 共享权限 ] 索引卷标点选用户 Everyone 账号, 勾选允许 [ 完全控制 ] [ 更改 ] 及 [ 读取 ] 权限, 设置完成后按 [ 确定 ] 25

26 3 Windows 2008 Server 审核设置本章节说明的 Windows 2008 Server 本地审核策略, 这里的本地是指该主机为独立主机, 并不属于任何的域主要说明以下操作设置 : 1. 设置本机登录注销的审核策略 2. 设置本机共享文件夹权限与审核策略请记得安装 NXLOG, 详细请参阅第一章节 3.1 设置本机登录注销的审核策略设置步骤如下 : 1. 以管理员 Administrator 登入 Windows 2008 Server 点选 [ 开始 / 管理工具 / 本地安全策略 ] 26

2. 点选 [ 本地策略 / 审核策略 ] 27

28 3. 定义下列的原则设置值 : (1) 审核登录事件 : 双击 [ 审核登录事件 ], 勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 28

(2) 审核账户登录事件 : 双击 [ 审核账户登录事件 ], 勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 29

30 (3) 审核对象访问 : 双击 [ 审核对象访问 ], 勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] (4) 审核策略更改 : 双击 [ 审核策略更改 ], 勾选 [ 定义这些策略设置 ], 再勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] (5) 审核账户管理 : 双击 [ 审核账户管理 ], 勾选 [ 定义这些策略设置 ], 再勾选 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 注 : 若 Windows 2008 Server 不做文件服务器审核 (File server audit), 建议不审核对象访问, 请直接跳过 3.1 中 (3) 与 3.2 的设置, 只需完成 3.1 的 (1) (2) (4) (5) 步骤的设置, 以避免 Windows 审核多余的对象访问 (Object access) 审核的安全事件此多余且事件冗长的安全事件转成 syslog 后发送给 N-Reporter 接收, 会影响效能 (performance) 30

3.2 设置本机共享文件夹权限与审核策略设置步骤如下 : 1. 在欲共享的文件夹上点击鼠标右键, 点选 [ 属性 ] 2. 点选 [ 共享 ] 索引卷标, 圈选 [ 共享 ] 3. 在文件共享设置中, 点下拉选单, 选择此计算机已建立的用户帐户, 本例输入用户 Everyone 审核所有用户点选 [ 添加 ] 31

32 4. 点选 [ 共享 ] 5. 等待共享设置完成后, 再按 [ 完成 ] 32

6. 安全性设置 : (1) 点选 [ 安全 ] 索引卷标 (2) 点选 [ 编辑 ] (3) 选择用户, 本例选择 Everyone 审核所有用户 (4) 勾选允许 [ 完全控制 ] 权限, 以取得所有权限 (5) 设置完成后按 [ 确定 ] 33

34 7. 高级安全设置 : (1) 点选 [ 高级 ] (2) 点选 [ 审核 ] 索引卷标 (3) 点选 [ 编辑 ] (4) 点选 [ 添加 ] (5) 点选 [ 位置 ], 选择本机计算机名称 (6) 输入用户账号, 本例输入 Everyone 审核所有用户 (7) 设置完成后按 [ 确定 ] 34

8. 审核项目设置 : 勾选所有审核项目的 [ 成功 ] 及 [ 失败 ], 设置完成后按 [ 确定 ] 9. 在高级安全设置设置完成后, 点选 [ 确定 ] 35

36 10. 在分享文件夹设置完成后, 点选 [ 关闭 ] 36

11. 点选 [ 开始菜单 / 管理工具 / 计算机管理 ] 37

38 12. 点选 [ 系统工具 / 共享文件夹 / 共享 ] 13. 双击该分享文件夹, 点选 [ 共享权限 ] 索引卷标点选用户账号, 本例选择 Everyone 审核所有用户勾选允许 [ 完全控制 ] [ 更改 ] 及 [ 读取 ] 权限, 设置完成后按 [ 确定 ] 38

4 Windows 2012 Server 审核设置本章节说明的 Windows 2008 Server 本地审核策略, 这里的本地是指该主机为独立主机, 并不属于任何的域主要说明以下操作设置 : 1. 设置本机登录注销的审核策略 2. 设置本机共享文件夹权限与审核策略 Windows 2012 Server 登录注销的审核策略和文件分享的审核策略, 默认是关闭的请记得安装 NXLOG, 详细请参阅第一章节 4.1 设置本机登录注销的审核策略配置步骤如下 : 1. 以管理员 administrator 登入 Windows 2012 Server 鼠标左点[ 开始 ], 右点 [ Windows PowerShell ], 左点 [ Run as Administrator ] 输入 :gpedit.msc, 完成后按 [ Enter ], 开启 [ 本地组策略编辑器 ] 2. 点选 [ 计算器配置 / Windows 设置 / 安全设置 / 本地策略 / 审核策略 ] 39

40 3. 定义下列的策略设定值 : (1) 审核登录事件 (Audit logon events): 双击 [ 审核登录事件 ], 勾选 [ 成功 ] 及 [ 失败 ], 设定完成后按 [ 确定 ] 40

(2) 审核账户登录事件 (Audit account logon events): 双击 [ 审核账户登录事件 ], 勾选 [ 成功 ] 及 [ 失败 ], 设定完成后按 [ 确定 ] 41

42 (3) 审核对象访问 (Audit object access): 双击 [ 审核对象访问 ], 勾选 [ 成功 ] 及 [ 失败 ], 设定完成后按 [ 确定 ] (4) 审核策略更改 (Audit policy change): 双击 [ 审核策略更改 ], 勾选 [ 成功 ] 及 [ 失败 ], 设定完成后按 [ 确定 ] (5) 审核账户管理 (Audit account management): 双击 [ 审核账户管理 ], 勾选 [ 成功 ] 及 [ 失败 ], 设定完成后按 [ 确定 ] 注 : 若 Windows 2012 Server 不做文件服务器稽核 (File server audit), 建议不审核对象访问, 请直接跳过 4.1 中 (3) 与 4.2 的设置, 只需完成 4.1 的 (1) (2) (4) (5) 步骤的设定, 以避免 Windows 审核多余的对象访问 (Object access) 的安全事件此多余且事件冗长的安全事件转成 syslog 后发送给 N-Reporter 接收, 会影响效能 (performance) 42

4.2 设定共享文件夹权限与审核策略设定步骤如下 : 1. 点选 [ 服务器管理器 / 文件和储存服务 / 共享 / 任务 / 新建共享... ] 43

44 2. 选择配置文件, 鼠标左点 [ SMB 共享 - 快速 ], 左点 [ 下一步 ] 3. 共享位置勾选 [ 键入自定义路径 ], 本例输入 "C:\share_folder", 左点 [ 下一步 ] 44

4. 输入共享名称, 本例输入 "share_folder", 左点 [ 下一步 ] 5. 其他设置勾选 [ 启用基于存取的枚举 ], 左点 [ 下一步 ] 45

46 6. 权限点选 [ 自定义权限... / 审核 / 添加 ] 46

7. 左点 [ 选择主体 ], 如果欲审核所有用户, 对象名称输入 "everyone", 左点 [ 确定 ] 8. 类型下拉选 [ 全部 ], 基本权限勾选 [ 完全控制 ], 左点 [ 确定 ] 9. 等待设定完成后, 左点 [ 确定 ] 左点 [ 下一步 ] 左点 [ 创建 ] 完成设定 47

48 连络信息 N-Partner 公司连络方式 : TEL: +886-4-23752865 FAX: +886-4-23757458 有关技术问题请洽 : Email: support@npartnertech.com Skype:support@npartnertech.com 有关业务相关问题请洽 : Email: sales@npartnertech.com 48

前言 本文件描述 N-Reporter 使用者如何使用 Open Source 工具 NXLOG 管理配置 Windows Server 2003/2008/2012 的日志 (Eventlog), 将事件 (Event) 转成 syslog, 再转发到 N-Reporter 做正规化 审核与分析

前言本文件描述 N-Reporter 使用者如何使用 Open Source 工具 NXLOG 管理配置 Windows Server 2003/2008/2012 的日志 (Eventlog), 将事件 (Event) 转成 syslog, 再转发到 N-Reporter 做正规化审核与分析