Administração de Sistema
Operacional de Rede
Windows
Server-2003
TECNOLÓGICOS
Ricardo de Oliveira Joaquim
Introdução à Logs de eventos
Os logs de eventos permitem que você monitore informações sobre:
• Problemas de hardware;
• Problemas de software
• Problemas do sistema.
Exiba esses logs para detectar as atividades e os eventos que
necessitam de sua atenção. Os logs também podem ser
usados para fornecer um histórico de eventos.
Introdução à Logs de eventos
O W2K3 registra os eventos em três tipos de logs:
• Log de sistema. Exemplo, o não carregamento de um driver ou de
outro componente do sistema durante a inicialização.
• Log de aplicativo. Exemplo, um programa de banco de dados
registra um erro de arquivo no log de aplicativo.
• Log de segurança. Exemplo, se você tiver ativado a auditoria de
logon, todas as tentativas de logon no sistema serão registradas
nesse log.
Tipos de eventos do sistema e de aplicativo
Tipos
Tipos de
de eventos
eventos do
do sistema
sistema ee de
de aplicativo
aplicativo
Information
Information
Warning
Warning
Error
Error
Existem três tipos de eventos do sistema e de aplicativo:
Information (Informações), Warning (Aviso) e Error (Erro).
Tipos de eventos do sistema e de aplicativo
Tipo de evento
Descrição
Information Operação bem-sucedida de um aplicativo, driver ou serviço. Por
(Informações)exemplo, quando um serviço significativo, como o Event Log (Log
de eventos), for iniciado com êxito, o W2K3 registrará um
evento Information.
Warning
(Aviso)
Um evento que não é necessariamente significativo, mas que pode
indicar um problema futuro nas operações do sistema. Por exemplo,
se houver pouco espaço em disco, o W2K3 registrará um aviso.
Um programa de detecção de vírus poderá registrar um erro
ao detectar um vírus.
Error
(Erro)
Um problema significativo nas operações do sistema, como perda
de dados ou de funcionalidade. Por exemplo, se um serviço não
for carregado durante a inicialização, o W2K3 registrará
um erro.
Exibindo Logs de eventos
Os eventos do sistema e de
aplicativo são registrados em seus
arquivos de log associados
seqüencialmente, do mais recente
para o mais antigo
Limitando o tamanho dos arquivos de log
Limite o tamanho dos logs de
eventos se o espaço em disco rígido
for um problema e selecione um
método para substituir as entradas
de eventos de logs mais antigas
pelas novas entradas. A substituição
dos logs de eventos mais antigos é
denominada sobreposição de logs
de eventos.
Gerenciando logs de eventos
Ao gerenciar os logs de eventos, você executa diversas tarefas.
Você pode arquivar os logs de eventos e, inclusive, determinar o
formato em que eles são salvos.
Em alguns casos, será necessário limpar manualmente os logs.
Arquivando logs de eventos
• Arquive os logs para manter um histórico dos eventos registrados
e comparar logs de períodos diferentes para controlar as
tendências.
• A exibição das tendências o ajuda a determinar o uso dos recursos
e planejar o crescimento.
• Você também pode usar os logs de segurança arquivados para
determinar um padrão de uso não autorizado de recursos.
• Muitas organizações possuem diretivas para salvar os logs
arquivados por um período de tempo especificado. Algumas, como
bancos e órgãos governamentais, são obrigadas por lei a salvar os
logs arquivados.
Arquivando logs de eventos
Para arquivar um log ou exibir um log arquivado, selecione o log
no Event Viewer. No menu Action (Ação), clique em uma das opções
descritas na tabela a seguir.
Para
Arquivar
o log
Faça isto
Clique em Save Log File As (Salvar arquivo
de log como) e digite um nome de arquivo.
Exibir um
arquivado
Aponte para New (Novo) e clique em Log View log
(Exibição de log). Na caixa de diálogo Add Another
Log View
clique em
log.
(Adicionar outro modo de exibição de log),
Saved (Salvo) e forneça o caminho para o
Selecionando um formato de arquivo
Salve os logs de eventos em outros formatos para que você possa
exibir os dados do log em outros aplicativos.
Por exemplo, use um aplicativo de planilha, como o Microsoft
Excel, para manipular os dados de modo que você possa controlar
as tendências com maior facilidade.
Selecionando um formato de arquivo
Salve os logs de eventos em um dos três formatos de arquivo a
seguir:
Formato de arquivo de log (.evt). Permite a exibição do log
arquivado novamente no Event Viewer.
Formato de arquivo de texto (.txt). Permite a exibição das
informações em um aplicativo, como um processador de texto.
Formato de arquivo de texto delimitado por vírgula (.csv). Permite
a exibição das informações em um aplicativo, como uma planilha
ou um banco de dados.
Limpando manualmente um log de eventos
Se você selecionar a opção Do not overwrite events (clear log
manually) na caixa de diálogo Properties de um log ativo, deverá
limpar o log periodicamente quando ele atingir um determinado
tamanho ou quando uma mensagem notificá-lo de que o log está
cheio.
Limpando manualmente um log de eventos
Para limpar um log de eventos, execute as seguintes etapas:
1. Na árvore de console, clique no log que você deseja limpar.
2. No menu Action, clique em Clear all Events (Limpar todos os
eventos).
3. Clique em Yes (Sim) para salvar o log antes de limpá-lo
-OuClique em No (Não) para descartar permanentemente os
registros de eventos atuais e começar a registrar novos
eventos.
Introdução à auditoria
No W2K3, a auditoria é o processo que consiste em controlar as
atividades do usuário e do sistema operacional (chamadas
eventos) em um computador.
Quando ocorre um evento do qual foi feita auditoria, o Windows
Server grava um registro do evento no log de segurança.
Introdução à auditoria
Entradas de auditoria
Uma entrada de auditoria no log de segurança contém as
seguintes informações:
• A ação que foi executada.
• O usuário que executou a ação.
• O êxito ou a falha do evento e quando ele ocorreu.
• Informações adicionais, como o computador no qual houve a
tentativa de executar a ação.
Planejando uma diretiva de auditoria
Determine os tipos de eventos para auditoria:
• Acesso a arquivos e pastas
• Logon e logoff de usuários
• Desligamento e reinicialização de um computador que execute o
W2K3 Server
• Alterações em grupos e contas de usuário
• Determine se deve ser feita a auditoria do êxito ou da falha de
eventos, ou de ambos.
Planejando uma diretiva de auditoria
• Determine se você precisa controlar tendências de uso do sistema.
Em caso afirmativo, planeje arquivar os logs de eventos.
• Examine os logs de segurança freqüentemente. Defina uma
agenda e examine regularmente os logs de segurança. A
configuração da auditoria apenas não o alerta sobre violações de
segurança.
Configurando uma diretiva de auditoria

Atribuir configurações de segurança a um único computador,
definindo as configurações em diretivas locais de diretivas de grupo

Atribuir configurações de segurança a vários computadores, criando
um objeto de diretiva de grupo e atribuindo-o
Console1 – [Console\Root\Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policie
Console Window Help
Action View Favorites
Tree Favorites
Console Root
Local Computer Policy
Computer Configuration
Software Settings
Window Settings
Scripts (Startup/Shutdown)
Security Settings
Account Policies
Local Policies
Audit Policy
User Rights Assignme
Security Options
Public Key Policies
IP Security Policies on Lo
Policy
Audit account logon events
Audit account management
Audit directory service access
Audit logon events
Audit object access
Audit policy change
Audit privilege use
Audit process tracking
Audit system events
Local Setting
Success, Failure
No auditing
No auditing
Success, Failure
No auditing
Success
Failure
No auditing
No auditing
Effective Setting
No auditing
No auditing
No auditing
No auditing
No auditing
No auditing
No auditing
No auditing
No auditing
Fazendo a auditoria de acesso aos recursos
Durante a auditoria para fins de segurança, você normalmente
faz a auditoria do acesso a objetos de sistema de arquivos e
impressoras.
Fazendo a auditoria do acesso a objetos de
sistema de arquivos
Para fazer a auditoria do acesso do usuário ao sistema de
arquivos, execute as seguintes tarefas:
• Defina a diretiva de auditoria para fazer a auditoria do acesso a
objetos, incluindo arquivos e pastas.
• Ative a auditoria de pastas e arquivos específicos e especifique os
tipos de acesso para auditoria. Você só pode fazer a auditoria do
acesso às pastas e aos arquivos localizados em volumes NTFS. O
sistema de arquivos FAT não dá suporte à auditoria.
Fazendo a auditoria do acesso a impressoras
Você pode fazer a auditoria do acesso a impressoras para controlar
o acesso do usuário a recursos de impressão de alto custo. Para
fazer a auditoria do acesso a impressoras, execute as seguintes
tarefas:
• Defina a diretiva de auditoria para fazer a auditoria do acesso a
objetos, incluindo impressoras.
• Ative a auditoria de impressoras específicas e especifique os tipos
de acesso para auditoria.
Administração de Sistema
Operacional de Rede
WINDOWS Server-2003
Ricardo de Oliveira Joaquim
[email protected]
Voltar
Download

(Log de eventos), for, o