18.2.3  日志监视

在Windows Server 2003中启用安全审核策略后，系统管理员应该经常查看安全日志的记录，否则就失去了及时补救和防御的时机。除了安全日志外，管理员还要注意检查各种服务或应用的日志文件。在Windows 2003 IIS 6.0中，其日志功能默认已经启动，并且日志文件存放的路径默认在System32/LogFiles目录下。打开IIS日志文件，可以查看所有对Web服务器的HTTP请求。IIS 6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。

使用“事件查看器”，可以监视事件日志中记录的事件。通常，计算机会存储“应用程序”、“安全性”和“系统”日志。根据计算机的角色和所安装的应用程序，还包括其他日志。

使用日志监视的步骤如下。

STEP1  选择菜单“开始→管理工具→事件查看器”命令，出现如图18-30所示的“事件查看器”窗口，可查看系统事件。

图18-30  “事件查看器”窗口

STEP2  双击需要查看详细信息的事件，出现如图18-31所示的事件详细信息对话框。在此对话框中，查看此事件的描述信息。如，提示“注册失败的DNS记录”，并有提示用户解决此问题的操作方法。系统提示可能的原因如下。

图18-31  事件详细信息

l 此计算机网络连接的TCP/IP属性包含错误的首选和备用DNS服务器的IP地址。
l 指定的首选和备用DNS服务器没有运行。
l 要注册此记录的DNS服务器主机没有运行。
l 首选和备用DNS服务器用错误的根提示配置。
l 父DNS区域包含到子区域授权的不正确委派，该委派用于注册失败的DNS记录。

STEP3  根据提示的方法解决存在的问题。打开“本地连接”的属性对话框，选择“TCP/IP协议”，再单击“属性”选项，出现TCP/IP属性对话框。因为此计算机为主域控制器，DNS应设置为空。如果有些事件提示的问题不能解决，可在Microsoft的官方网站搜索事件ID的解决方案。