Administração de Sistema Operacional de Rede Windows Server-2003 TECNOLÓGICOS Ricardo de Oliveira Joaquim Introdução à Logs de eventos Os logs de eventos permitem que você monitore informações sobre: • Problemas de hardware; • Problemas de software • Problemas do sistema. Exiba esses logs para detectar as atividades e os eventos que necessitam de sua atenção. Os logs também podem ser usados para fornecer um histórico de eventos. Introdução à Logs de eventos O W2K3 registra os eventos em três tipos de logs: • Log de sistema. Exemplo, o não carregamento de um driver ou de outro componente do sistema durante a inicialização. • Log de aplicativo. Exemplo, um programa de banco de dados registra um erro de arquivo no log de aplicativo. • Log de segurança. Exemplo, se você tiver ativado a auditoria de logon, todas as tentativas de logon no sistema serão registradas nesse log. Tipos de eventos do sistema e de aplicativo Tipos Tipos de de eventos eventos do do sistema sistema ee de de aplicativo aplicativo Information Information Warning Warning Error Error Existem três tipos de eventos do sistema e de aplicativo: Information (Informações), Warning (Aviso) e Error (Erro). Tipos de eventos do sistema e de aplicativo Tipo de evento Descrição Information Operação bem-sucedida de um aplicativo, driver ou serviço. Por (Informações)exemplo, quando um serviço significativo, como o Event Log (Log de eventos), for iniciado com êxito, o W2K3 registrará um evento Information. Warning (Aviso) Um evento que não é necessariamente significativo, mas que pode indicar um problema futuro nas operações do sistema. Por exemplo, se houver pouco espaço em disco, o W2K3 registrará um aviso. Um programa de detecção de vírus poderá registrar um erro ao detectar um vírus. Error (Erro) Um problema significativo nas operações do sistema, como perda de dados ou de funcionalidade. Por exemplo, se um serviço não for carregado durante a inicialização, o W2K3 registrará um erro. Exibindo Logs de eventos Os eventos do sistema e de aplicativo são registrados em seus arquivos de log associados seqüencialmente, do mais recente para o mais antigo Limitando o tamanho dos arquivos de log Limite o tamanho dos logs de eventos se o espaço em disco rígido for um problema e selecione um método para substituir as entradas de eventos de logs mais antigas pelas novas entradas. A substituição dos logs de eventos mais antigos é denominada sobreposição de logs de eventos. Gerenciando logs de eventos Ao gerenciar os logs de eventos, você executa diversas tarefas. Você pode arquivar os logs de eventos e, inclusive, determinar o formato em que eles são salvos. Em alguns casos, será necessário limpar manualmente os logs. Arquivando logs de eventos • Arquive os logs para manter um histórico dos eventos registrados e comparar logs de períodos diferentes para controlar as tendências. • A exibição das tendências o ajuda a determinar o uso dos recursos e planejar o crescimento. • Você também pode usar os logs de segurança arquivados para determinar um padrão de uso não autorizado de recursos. • Muitas organizações possuem diretivas para salvar os logs arquivados por um período de tempo especificado. Algumas, como bancos e órgãos governamentais, são obrigadas por lei a salvar os logs arquivados. Arquivando logs de eventos Para arquivar um log ou exibir um log arquivado, selecione o log no Event Viewer. No menu Action (Ação), clique em uma das opções descritas na tabela a seguir. Para Arquivar o log Faça isto Clique em Save Log File As (Salvar arquivo de log como) e digite um nome de arquivo. Exibir um arquivado Aponte para New (Novo) e clique em Log View log (Exibição de log). Na caixa de diálogo Add Another Log View clique em log. (Adicionar outro modo de exibição de log), Saved (Salvo) e forneça o caminho para o Selecionando um formato de arquivo Salve os logs de eventos em outros formatos para que você possa exibir os dados do log em outros aplicativos. Por exemplo, use um aplicativo de planilha, como o Microsoft Excel, para manipular os dados de modo que você possa controlar as tendências com maior facilidade. Selecionando um formato de arquivo Salve os logs de eventos em um dos três formatos de arquivo a seguir: Formato de arquivo de log (.evt). Permite a exibição do log arquivado novamente no Event Viewer. Formato de arquivo de texto (.txt). Permite a exibição das informações em um aplicativo, como um processador de texto. Formato de arquivo de texto delimitado por vírgula (.csv). Permite a exibição das informações em um aplicativo, como uma planilha ou um banco de dados. Limpando manualmente um log de eventos Se você selecionar a opção Do not overwrite events (clear log manually) na caixa de diálogo Properties de um log ativo, deverá limpar o log periodicamente quando ele atingir um determinado tamanho ou quando uma mensagem notificá-lo de que o log está cheio. Limpando manualmente um log de eventos Para limpar um log de eventos, execute as seguintes etapas: 1. Na árvore de console, clique no log que você deseja limpar. 2. No menu Action, clique em Clear all Events (Limpar todos os eventos). 3. Clique em Yes (Sim) para salvar o log antes de limpá-lo -OuClique em No (Não) para descartar permanentemente os registros de eventos atuais e começar a registrar novos eventos. Introdução à auditoria No W2K3, a auditoria é o processo que consiste em controlar as atividades do usuário e do sistema operacional (chamadas eventos) em um computador. Quando ocorre um evento do qual foi feita auditoria, o Windows Server grava um registro do evento no log de segurança. Introdução à auditoria Entradas de auditoria Uma entrada de auditoria no log de segurança contém as seguintes informações: • A ação que foi executada. • O usuário que executou a ação. • O êxito ou a falha do evento e quando ele ocorreu. • Informações adicionais, como o computador no qual houve a tentativa de executar a ação. Planejando uma diretiva de auditoria Determine os tipos de eventos para auditoria: • Acesso a arquivos e pastas • Logon e logoff de usuários • Desligamento e reinicialização de um computador que execute o W2K3 Server • Alterações em grupos e contas de usuário • Determine se deve ser feita a auditoria do êxito ou da falha de eventos, ou de ambos. Planejando uma diretiva de auditoria • Determine se você precisa controlar tendências de uso do sistema. Em caso afirmativo, planeje arquivar os logs de eventos. • Examine os logs de segurança freqüentemente. Defina uma agenda e examine regularmente os logs de segurança. A configuração da auditoria apenas não o alerta sobre violações de segurança. Configurando uma diretiva de auditoria Atribuir configurações de segurança a um único computador, definindo as configurações em diretivas locais de diretivas de grupo Atribuir configurações de segurança a vários computadores, criando um objeto de diretiva de grupo e atribuindo-o Console1 – [Console\Root\Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policie Console Window Help Action View Favorites Tree Favorites Console Root Local Computer Policy Computer Configuration Software Settings Window Settings Scripts (Startup/Shutdown) Security Settings Account Policies Local Policies Audit Policy User Rights Assignme Security Options Public Key Policies IP Security Policies on Lo Policy Audit account logon events Audit account management Audit directory service access Audit logon events Audit object access Audit policy change Audit privilege use Audit process tracking Audit system events Local Setting Success, Failure No auditing No auditing Success, Failure No auditing Success Failure No auditing No auditing Effective Setting No auditing No auditing No auditing No auditing No auditing No auditing No auditing No auditing No auditing Fazendo a auditoria de acesso aos recursos Durante a auditoria para fins de segurança, você normalmente faz a auditoria do acesso a objetos de sistema de arquivos e impressoras. Fazendo a auditoria do acesso a objetos de sistema de arquivos Para fazer a auditoria do acesso do usuário ao sistema de arquivos, execute as seguintes tarefas: • Defina a diretiva de auditoria para fazer a auditoria do acesso a objetos, incluindo arquivos e pastas. • Ative a auditoria de pastas e arquivos específicos e especifique os tipos de acesso para auditoria. Você só pode fazer a auditoria do acesso às pastas e aos arquivos localizados em volumes NTFS. O sistema de arquivos FAT não dá suporte à auditoria. Fazendo a auditoria do acesso a impressoras Você pode fazer a auditoria do acesso a impressoras para controlar o acesso do usuário a recursos de impressão de alto custo. Para fazer a auditoria do acesso a impressoras, execute as seguintes tarefas: • Defina a diretiva de auditoria para fazer a auditoria do acesso a objetos, incluindo impressoras. • Ative a auditoria de impressoras específicas e especifique os tipos de acesso para auditoria. Administração de Sistema Operacional de Rede WINDOWS Server-2003 Ricardo de Oliveira Joaquim [email protected] Voltar