Administração de Sistema Operacional de Rede WindowsServer-2003 WindowsServer-2003 Ricardo de Oliveira Joaquim TECNOLÓGICOS
Os logs de eventos permitem que você monitore informações sobre: Exiba esses logs para detectar as atividades e os eventos que necessitam de sua atenção. Os logs também podem ser usados para fornecer um histórico de eventos. Introdução à Logs de eventos Problemas de hardware; Problemas de software Problemas do sistema.
Introdução à Logs de eventos
O W2K3 registra os eventos em três tipos de logs: Log de sistema. Exemplo, o não carregamento de um driver ou de outro componente do sistema durante a inicialização. Log de aplicativo. Exemplo, um programa de banco de dados registra um erro de arquivo no log de aplicativo. Log de segurança. Exemplo, se você tiver ativado a auditoria de logon, todas as tentativas de logon no sistema serão registradas nesse log.
Tipos de eventos do sistema e de aplicativo Existem três tipos de eventos do sistema e de aplicativo: Information (Informações), Warning (Aviso) e Error (Erro).
Tipos de eventos do sistema e de aplicativo Tipo de eventoDescrição InformationOperação bem sucedida de um aplicativo, driver ou serviço. Por (Informações)exemplo, quando um serviço significativo, como o Event Log (Log de eventos), for iniciado com êxito, o W2K3 registrará um evento Information. WarningUm evento que não é necessariamente significativo, mas que pode (Aviso)indicar um problema futuro nas operações do sistema. Por exemplo, se houver pouco espaço em disco, o W2K3 registrará um aviso. Um programa de detecção de vírus poderá registrar um erro ao detectar um vírus. ErrorUm problema significativo nas operações do sistema, como perda (Erro)de dados ou de funcionalidade. Por exemplo, se um serviço não for carregado durante a inicialização, o W2K3 registrará um erro.
Exibindo Logs de eventos Os eventos do sistema e de aplicativo são registrados em seus arquivos de log associados seqüencialmente, do mais recente para o mais antigo
Limitando o tamanho dos arquivos de log Limite o tamanho dos logs de eventos se o espaço em disco rígido for um problema e selecione um método para substituir as entradas de eventos de logs mais antigas pelas novas entradas. A substituição dos logs de eventos mais antigos é denominada sobreposição de logs de eventos.
Gerenciando logs de eventos Ao gerenciar os logs de eventos, você executa diversas tarefas. Você pode arquivar os logs de eventos e, inclusive, determinar o formato em que eles são salvos. Em alguns casos, será necessário limpar manualmente os logs.
Arquivando logs de eventos Arquive os logs para manter um histórico dos eventos registrados e comparar logs de períodos diferentes para controlar as tendências. A exibição das tendências o ajuda a determinar o uso dos recursos e planejar o crescimento. Você também pode usar os logs de segurança arquivados para determinar um padrão de uso não autorizado de recursos. Muitas organizações possuem diretivas para salvar os logs arquivados por um período de tempo especificado. Algumas, como bancos e órgãos governamentais, são obrigadas por lei a salvar os logs arquivados.
Para arquivar um log ou exibir um log arquivado, selecione o log no Event Viewer. No menu Action (Ação), clique em uma das opções descritas na tabela a seguir. ParaFaça isto Arquivar Clique em Save Log File As (Salvar arquivo o log de log como) e digite um nome de arquivo. Exibir um Aponte para New (Novo) e clique em Log View log arquivado(Exibição de log). Na caixa de diálogo Add Another Log View (Adicionar outro modo de exibição de log), clique em Saved (Salvo) e forneça o caminho para o log. Arquivando logs de eventos
Selecionando um formato de arquivo Salve os logs de eventos em outros formatos para que você possa exibir os dados do log em outros aplicativos. Por exemplo, use um aplicativo de planilha, como o Microsoft Excel, para manipular os dados de modo que você possa controlar as tendências com maior facilidade.
Salve os logs de eventos em um dos três formatos de arquivo a seguir: Formato de arquivo de log (.evt). Permite a exibição do log arquivado novamente no Event Viewer. Formato de arquivo de texto (.txt). Permite a exibição das informações em um aplicativo, como um processador de texto. Formato de arquivo de texto delimitado por vírgula (.csv). Permite a exibição das informações em um aplicativo, como uma planilha ou um banco de dados. Selecionando um formato de arquivo
Limpando manualmente um log de eventos Se você selecionar a opção Do not overwrite events (clear log manually) na caixa de diálogo Properties de um log ativo, deverá limpar o log periodicamente quando ele atingir um determinado tamanho ou quando uma mensagem notificá lo de que o log está cheio.
Limpando manualmente um log de eventos Para limpar um log de eventos, execute as seguintes etapas: 1.Na árvore de console, clique no log que você deseja limpar. 2.No menu Action, clique em Clear all Events (Limpar todos os eventos). 3.Clique em Yes (Sim) para salvar o log antes de limpá-lo Ou- Clique em No (Não) para descartar permanentemente os registros de eventos atuais e começar a registrar novos eventos.
Introdução à auditoria No W2K3, a auditoria é o processo que consiste em controlar as atividades do usuário e do sistema operacional (chamadas eventos) em um computador. Quando ocorre um evento do qual foi feita auditoria, o Windows Server grava um registro do evento no log de segurança.
Introdução à auditoria Entradas de auditoria Uma entrada de auditoria no log de segurança contém as seguintes informações: A ação que foi executada. O usuário que executou a ação. O êxito ou a falha do evento e quando ele ocorreu. Informações adicionais, como o computador no qual houve a tentativa de executar a ação.
Planejando uma diretiva de auditoria Determine os tipos de eventos para auditoria: Acesso a arquivos e pastas Logon e logoff de usuários Desligamento e reinicialização de um computador que execute o W2K3 Server Alterações em grupos e contas de usuário Determine se deve ser feita a auditoria do êxito ou da falha de eventos, ou de ambos.
Planejando uma diretiva de auditoria Determine se você precisa controlar tendências de uso do sistema. Em caso afirmativo, planeje arquivar os logs de eventos. Examine os logs de segurança freqüentemente. Defina uma agenda e examine regularmente os logs de segurança. A configuração da auditoria apenas não o alerta sobre violações de segurança.
Configurando uma diretiva de auditoria
Fazendo a auditoria de acesso aos recursos Durante a auditoria para fins de segurança, você normalmente faz a auditoria do acesso a objetos de sistema de arquivos e impressoras.
Fazendo a auditoria do acesso a objetos de sistema de arquivos Para fazer a auditoria do acesso do usuário ao sistema de arquivos, execute as seguintes tarefas: Defina a diretiva de auditoria para fazer a auditoria do acesso a objetos, incluindo arquivos e pastas. Ative a auditoria de pastas e arquivos específicos e especifique os tipos de acesso para auditoria. Você só pode fazer a auditoria do acesso às pastas e aos arquivos localizados em volumes NTFS. O sistema de arquivos FAT não dá suporte à auditoria.
Fazendo a auditoria do acesso a impressoras Você pode fazer a auditoria do acesso a impressoras para controlar o acesso do usuário a recursos de impressão de alto custo. Para fazer a auditoria do acesso a impressoras, execute as seguintes tarefas: Defina a diretiva de auditoria para fazer a auditoria do acesso a objetos, incluindo impressoras. Ative a auditoria de impressoras específicas e especifique os tipos de acesso para auditoria.
Voltar Ricardo de Oliveira Joaquim Administração de Sistema Operacional de Rede WINDOWS Server-2003