企业安全管理：免费的Windows集中式审计

很多人都会问这样的问题，如何集中不同计算机的事件查看器产生的日志?因为微软解决方案并不提供这个功能，因此我们过去只能使用第三方产品。不过现在发布的Windows Server 2008和windows Vista让集中化日志记录成为可能。如果你没有Windows Server 2008和windows Vista，那也不用担心，因为微软公司将日志记录集中化管理的功能也向后兼容到了Windows Server3和Windows XP客户端。没错，只要你有Windows Server 2008或者windows Vista，你就能为Windows计算机进行集中日志管理。

进行集中日志管理的计算机要求和配置

任何Windows Server 2008或者windows Vista都可以成为你的集中日志计算机，这就意味着，你在Windows Server 2008、Windows Server 2003、Windows Vista或者Windows XP等计算机上配置的所有日志都可以发送到集中日志计算机进行一站式处理。

如果你希望利用你的Windows Server 2008或者windows Vista来集中处理日志，真的不需要进行太多的工作，不过你至少需要将计算机配置为支持日志，你可以通过从提升的命令提示符中运行一些命令来实现。

注意：

当用户帐户控制(User Account Control)已经启用时，命令提示符必须被提升。

你需要运行的第一个命令将在计算机上建立远程管理器(Remote Management)，就是以下命令：　

winrm qc

该命令将会生成一个响应信息，告诉你某些任务需要由系统来执行，你只需要确认“Yes”，该信息可以在图1中看到。

注意：

如果你在命令结尾处使用-q switch，命令和行动将自动安静的进行执行。

图1：在Windows Vista计算机上配置远程管理

当你输入Y来进行更改时，将会立即显示结果告诉你操作成功。

第二个命令将会配置Event Collector服务，这个命令很类似，但是可以控制Event Collector服务：　

wecutil qc /q

再一次，你会收到操作成功的确认信息。

集中日志管理的计算机要求和配置

如果你使用Windows Server 2008 或者Windows Vista作为源计算机，那么你只需要运行一个命令让计算机随时准备向中央日志计算机发送信息，使用的命令与上文中所说的安装远程管理器的命令相同：　

winrm qc –q

如果你使用的是Windows Server 2003或者 XP，你将需要为操作系统下载并安装远程管理的Forwarding部分。

注意：

在正确配置发送日志功能时，你必须在Windows Server 2003上安装SP1，Windows XP系统上安装SP2。

安装好后，接着你再执行相同的远程管理配置字符串。　

winrm qc –q

注意：

你必须具备管理权限才能执行此配置。

你可以通过启动Event Viewer来检查配置情况，当开启Event Viewer，你需要查看以下名为Microsoft-Windows-Forwarding/Operational新节点，如图2所示。

图2：Event Viewer中的 Windows XP转发日志 #p#

安装Subscription

对subscription的配置需要在中央日志计算机上执行，对于这些步骤泥浆需要进行以下配置：

◆Computer name：你想要收集日志信息的计算机

◆Event type (例如关键、错误和警告等)

◆By log (例如系统和应用程序等)

◆By source

◆Event ID(s)(通常不会想要收集所有时间，那么就应该把这些事件都列出来)

◆Keywords

◆User or Computer

注意：

并不是上述所有都是必须的，但是可以作为选择。

第一步你首先要确定你想要从哪些计算机收集信息，这可以通过右键单击事件查看器中的Subscription节点来实现，然后选择新建Subscription，在Subscription Properties框中，选择Select Computers按钮，如图3所示。

图3：Subscription Properties对话框可以让你配置想要收集的计算机日志

在计算机对话框中，你可以添加Domain Computers到想要收集日志信息的计算机列表中，这是很有用的，因为你可以创建一个Subscription来收集来自很多计算机的类似事件，并将其却认为一组事件。同时还有一个Test选项，为了确保中央计算机可以查看其收集事件的远程计算机，如图4所示。

图4：你可以测试以确保你收集日志的计算机进行了正确的配置

在配置好这些源计算机后，现在你只需要配置事件以及你想要收集的详细细节，图5中显示的是你的可选项。

图5：每个subscription都可以允许你对收集的信息提出细节要求

在配置好想要收集的事件类型后，基于众多可用的选项，你只需要等待收集到源计算机的事件并发送到中央日志计算机即可。 #p#

查看收集的事件

要想查看收集到中央日志计算机的事件，你只需要到事件查看器即可查看。在这里，你将会看到Windows Logs下名为Forwarded Events的节点，源计算机配置为发送所有事件到该位置，你当然也可以设置自定义试图分割以及将事件按照自定义的格式进行排列(如果你收集的是来自很多计算机和不同类型的事件的话，这样做将很有帮助)。图6显示的是从Windows XP计算机收集来的事件信息，显示在Windows Server 2008计算机上。

图6：由Windows XP收集的事件并发送到Windows Server 2008中央日志计算机

总结

对于负责管理和查看事件日志的人员，现在可以利用Windows Server 2008 和Windows Vista中的新技术来创建集中式日志管理计算机。只要安装好了这种集中式日至管理计算机，你就只需要初始化源计算机上的远程管理组件即可。源计算机可以是Windows XP SP2、Windows Server 2003 SP1、Windows Vista或者 Windows Server 2008。另外可以在中央日志管理计算机上安装Subscription，你只需要确定你想要收集来自哪些计算机的事件以及收集的事件类型。至于其他计算机，你只需要查看中央日志管理计算机的事件查看器就可以看到网络中各地的事件情况。

【编辑推荐】