yzx99

导航

 

安全日志位置在://ad/C$/WINNT/system32/config/secevent.evt

在WIN2000上设不出来能让普通用户查询安全日志的,普通域用户可以直接查询“应用程序”与“系统日志”,但却不能查询“安全日志”,只有把普通域用户归到“管理稽核及安全日志”才能访问,但这样,普通域用户又可以删除安全日志了。

我试着把secevent.evt共享全开,仍无法访问

使用者权限指派---管理稽核及安全日志加入该用户  不成功,但重新登录,成功,不过也可以删除

想对文件设置拒绝修改权限,但发现权限设上去,再过一会又被清空了。

看到几种解决方案:安装一个MOM(Microsoft Operations Manager)专门进行安全日志的管理,需要花钱,并且要多安装软件

通过dumpel导成文本文件,然后用户再看这个文本文件
把安全日志另存为日志文件,然后再用事件查看器查看
甚至把安全日志文件直接拷贝出来,对其标识进行修改,然后让其它用户可以在事件查看器中查看
但以上三种方案都存在一个时间差,关联动作多等缺点

最后我们使用如下方案:建立一个ASP文件,即时读取安全日志。
ASP文件代码如下:
<%@ LANGUAGE="VBSCRIPT"%>
<HTML>
<HEAD>
<TITLE>Security Logs</TITLE>
</HEAD>

<BODY style="font-family:宋体; font-size:9pt;">
<%
Set wbemServices = GetObject("winmgmts:{(Security)}\\.\root\cimv2")
Set wbemObjectSet = wbemServices.ExecQuery _
    ("Select * From Win32_NTLogEvent Where Type='audit failure'")

i=1
For Each wbemObject In wbemObjectSet
  sSJ = wbemObject.TimeGenerated
  sSJ = left(sSJ, 4) & "-" & mid(sSJ, 5, 2) & "-" & mid(sSJ, 7, 2) & " " & mid(sSJ, 9, 2) & ":" & mid(sSJ, 11, 2) & ":" & mid(sSJ, 13, 2)
%>
XH: <%=wbemObject.RecordNumber%><br/>
SJ: <%=sSJ%><br/>
LX: <%=wbemObject.CategoryString%><br/>
Event: <%=wbemObject.EventCode%><br/>
Message: <%=wbemObject.Message%><br/>
<br/>
<%
  i=i+1
  if i>200 then exit for
Next
%>

</BODY>
</HTML>
也要注意在WMI的属性的安全性中,要允许everyone远程访问。

后来发现我把我测试的帐号分配了“管理稽核及安全日志”的权限,对于普通帐号还是一片空白。只好再试。在IIS中对该ASP文件属性中,如果把有“管理稽核及安全日志”的测试帐号做为匿名登录的对应帐号,并且将帐号分配“以批次工作登入”的权限,这样普通用户访问该文件时,就是使用测试帐号,而测试帐号可以“管理稽核及安全日志”,所以就把结果给列出来了。这下正常了。

posted on 2009-04-16 14:34  yzx99  阅读(484)  评论(0编辑  收藏  举报