Auditing en Event viewer
Tasks op de server kan men registreren in een logfile.
Men maakt een onderscheid tussen:
- system log: de systeemcomponenten b.v. een driver die niet werkt
- security log: niveau van user rights en permissions
- application log: toepassingen als directory repliaction, ntbackup,enz..
De eventlog-service start automatisch bij installatie van windows NT en kan via start,settings,
control panel, services gestopt worden.
a. Hoe de events plaatsen die moeten gelogd worden?
- user rights
Kies user manager for domains, policies, audit. Hier kunnen verschillende security-events
in de logfile geplaatst worden.
- logon en logoff: zowel locaal in- en uitloggen als via het netwerk
- file and object access: toeganscontrole op directories, files en printers (zie
volgende)
- use of user rights: wanneer een user right aangesproken wordt
- user and group management: acties met users en groepen: creatie, wijzigingen,
wissen
- security policy changes: wijzigingen in user rights, audit en trust relationships
- restart, shutdown and system
- process tracking:gedetailleerde informatie over werkende programma's
- directories en files
Kan enkel op een NTFS-systeem en indien de optie audit file and object access in de audit
policy (zie vorige) aanstaat.
Selecteer de directory of file, kies properties,security,auditing. Voer de naam van de
groep(en), de user(s) of erveryone in. Klik de te auditeren actie aan.
Het audit verschijnt als een object access in de securitylog.
- printers