深入解析Windows Server 2008的自我监控

　　自我监控思路

　　大家知道，每一个Windows系统都自带了事件查看器程序，不过与传统操作系统不 一样的是，Windows Server 2008系统将常用的任务计划功能整合到事件查看器程序中了，有了这项功能的支持，我们可以在服务器系统中针对一些特殊系统事件附加任务计划，让该运行任 务在特殊系统事件发生的那一刻及时提醒我们;当Windows Server 2008系统中的需要被监控的系统事件真正发生时，附加在该系统事件上的特定任务计划就能被自动触发，到时它就能根据事先设置好的方式来提醒我们采取应对 措施了，这样一来就能实现不用外力工具，Windows Server 2008系统就能完成自我监控的任务了。

　　依照上述思路，我们只要先在Windows Server 2008系统中对需要监控的系统事件启用审核功能，确保系统的事件查看器程序能够自动跟踪、记忆目标系统事件，接着人为创建一个特殊系统事件，让事件查看 器程序自动生成这个事件记录，例如我们简单地注销系统并重新登录一次，那么Windows Server 2008系统的事件查看器程序就能自动把这个系统登录事件记忆保存下来，有了具体的事件记录后，下面我们就能利用“任务附加到事件”功能，将自动监控报警 信息通过任务计划的方式附加到具体的事件记录上，日后当相同的系统再次发生时，附加的任务计划就能被自动触发，到时我们就能及时收到附加任务计划发送出来 的报警信息了，看到报警信息后，我们要做的工作就是及时采取安全应对措施，防范这类有安全威胁的系统事件再次发生，那样一来Windows Server 2008系统的安全性在某种程度上又得到了更进一步地强化。为方便叙述，本文就以自动监控系统登录事件为例，让Windows Server 2008系统对那些偷偷登录系统的非法行为进行自动监控，谨防恶意攻击者暗地里攻击Windows Server 2008系统。

　　审核待监控事件

　　Windows Server 2008系统内置的事件查看器程序在默认状态下，不会对类似系统登录这样的事件进行跟踪记录的，也就是说平时我们登录系统时，事件查看器程序并没有这方面 的事件记录，要想对系统登录这样的事件进行监控，我们首先要做的工作自然就是为待监控事件启用审核功能，让事件查看器程序可以自动记忆保存这些事件记录。 在审核待监控事件时，我们可以按照下面的操作来进行：

　　首先打开Windows Server 2008系统的“开始”菜单，从中逐一点击“设置”、“控制面板”选项，打开对应系统的控制面板窗口，再用鼠标双击该窗口中的“管理工具”图标选项，进入Windows Server 2008系统的管理工具列表界面;

　　其次双击管理工具列表界面中的“本地安全策略”图标选项，在其后出现的本地安全策略编辑器界面中，依次展开左侧子窗格区域中的“安全设置”/“本地策略”/“审核策略”分支选项，在“审核策略”分支选项下面，选中“审核登录事件”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令进入如图1所示的审核登录事件属性设置对话框;

　　下面同时将该设置对话框中的“成功”、“失败”复选项都选中，再单击“确定”按钮保存好上述设置操作，如此一来日后任何一位用户无论有没有成功 登录进Windows Server 2008系统，对应系统的事件查看器程序都会自动把这次系统登录事件记录保存到事件查看器列表中，仔细查看这些记录，我们就能大概判断出当前服务器系统中 是否存在非法登录事件发生了。

　　手工生成目标事件

　　考虑到任务计划只能与具体的某件事件绑定在一起，为此要想利用任务计划功能对目标系统事件进行自动监控报警，我们还需要手工创建一个与待监控事件性质一样的具体事件记录;例如，要手工生成系统登录事件记录时，我们只要在Windows Server 2008服务器系统桌面中依次单击“开始”/“关机”选项，选中“待机”项目，单击“确定”按钮，将当前系统注销掉，之后重新以系统管理员账号登录一次 Windows Server 2008服务器系统，当系统登录操作成功后，对应系统的事件查看器程序就会自动将这次登录操作记录下来了。

　　在查看具体的事件记录时，我们可以在Windows Server 2008服务器系统桌面中用鼠标右键单击“计算机”图标，从弹出的快捷菜单中点选“管理”命令，打开对应系统的计算机管理控制台界面;

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]