Log hệ thống - Phần 2 (Event Viewer)
Quản lý hệ thống mạng không thể thiếu phần giám sát hệ thống, ngoài việc bạn ghi lại các tiến trình trong hệ thống bạn còn phải biết điều chỉnh thiết lập chỉ ghi lại những yếu tố cần thiết. Chẳng hạn một máy chủ File Server bạn chỉ cần giám quá trình truy cập tài nguyên, máy chủ Active Directory giám sát quá trình log on vào hệ thống.

Trong phần hai của bài viết tôi sẽ giới thiệu với các bạn công một công cụ ghi lại các event của hệ thống đó là Event Viewer.
Event viewer là một công cụ tích hợp trong Windows cho phép bạn xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất.
Trong Event viewer đã phân vùng các sự kiện riêng biệt cho từng ứng dụng, một máy chủ cài đặt mặc định sẽ có ba phân vùng trong event viewer:
Application
Security
System

Hình 1: Event viewer chia các vùng log riêng biệt cho các ứng dụng.
Application log
Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác như symantec hay các ứng dụng mail…Thường thiết lập trong application là mặc định của các ứng dụng nên chúng ta chỉ có thể đọc nó mà không thiết lập được.

Hình 2: các sự kiện được lưu lại trong application log
Trong ví dụ trên application log chỉ được phần mềm symantec sử dụng.
Security log.
Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy. Nhưng trong các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu.

Hình 3: thiết lập audit trong group policy
Trong thiết lập này tôi chỉ thiết lập giám sát quá trình truy cập login log-off hệ thống. Nếu với thiết lập như trên toàn bộ người dùng logon hay logoff vào hệ thống đều được ghi lại sau khi thiết lập trong group policy các bạn nên logoff hoặc restart lại máy bởi các thông tin chỉnh trong group policy bản chất là chỉnh các thông số trong registry.
Giờ tôi logoff ra và login vào sẽ thấy ghi lại trong security log.

Hình 4: xem lại event logon vào hệ thống của các user
Sau khi logon vào máy tính mở event viewer ra xem và tôi phát hiện ra hệ thống đã lưu lại username: vangtrang computer: vnexperts, event: success audit, time: 8:10:06PM
Vậy ý nghĩa của việc xem lại log này là gì: bạn hãy tưởng tượng một dữ liệu trong máy của bạn đã bị mất và trong log ghi lại là đã được xoá lúc 12h đêm vậy bạn cần quy trách nhiệm đó cho ai, bạn cần biết trong thời điểm đó những ai đang online và logon, logoff trong thời gian đó.
Thiết lập giám sát một folder dữ liệu quan trọng, với yêu cầu đặt ra là giám sát toàn bộ các quá trình truy cập các action cụ thể với folder này. Trong ổ E có thư mục quan trọng VNEDATA việc cần thiết của bạn là đưa ra các thiết lập giám sát toàn bộ truy cập vào folder này.
Bước 1: thiết lập audit object access trong group policy ở cả chế đọ success và fails

Hình 5: thiết lập audit object access
Với thiết lập trong group policy có nghĩa bạn chỉ enable tính năng cho phép hệ thống ghi lại mà thôi, mặc định hệ thống sau khi thiết lập này sẽ ghi lại event với các đối tượng hệ thống như registry… Còn muốn một quá trình truy cập vào folder mà được lưu lại thì phải thiết lập trên folder đó.
Bước 2: thiết lập audit trên foder.
Chuột phải vào folder chọn properties sang tab security chọn advanced, chuyển sang tab audit chọn trong cửa sổ add chúng ta add group với tên là everyone (everyone là một system group trong Windows).

Hình 6: thiết lập audit toàn bộ các event truy cập vào folder:
Sau khi thiết lập bạn restart lại máy và thử truy cập vào folder này xem trong event viewer có ghi các sự kiện với folder này không.

Hình 7: Xem lại audit object acces
Nhìn vào event ta nhận thấy vào lúc 8:36:42 PM user với tên là vangtrang từ máy tính có tên VNEXPERTS đã bị failure trong quá trình truy cập vào folder E:\VNEDATA. Ứng dụng của tính năng audit và xem lại các event cho ta phát hiện những kẻ truy cập bất hợp pháp và quy trách nhiệm cụ thể cho những kẻ phá hoại.
System Log:
System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện:
Bật, tắt, pause, disable, enable các services của hệ thống.
Ví như một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.

Hình 8: Xem một event trong system log
Với thông event service với tên là Server đã bị lỗi do trong mạng LAN có máy tính trùng tên hoặc trùng địa chỉ IP.
Log Properties
Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện.

Hình 9: Tab General của system properties
Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu: C:\Windows\System32\Config\SecEvent.Evt
Dung lượng tối đa cho file log này là 512 KB bạn có thể cấu hình lại to hơn hoặc nhỏ hơn, nếu dung lượng file long lớn hơn 512 KB hệ thống sẽ tự xoá các sự kiện cũ theo thuật toán First in First out – (vào trước vào thì ra trước).
Nếu dung lượng chưa được 512KB nhưng với thiết lập mặc định các event sẽ bị xoá sau 7 ngày.

Hình 10: tab filter của system properties
Trong tab này với khi chưa cấu hình lọc mặc định sẽ hiển thị toàn bộ các sự kiện bạn có thể lọc chỉ hiển thị theo "event types: như information, waring, erro, success audit, hay failure audit"
Hoặc có thể thiết lập lọc các sự kiện theo thời gian và ID của các sự kiện
Kết luận.
Event viewer là một tool quan trọng trong việc giám sát hệ thống dựa vào công cụ này người quản trị sẽ phát hiện ra những kẻ truy cập bất hợp pháp vào những thời điểm cụ thể, với tính năng lọc giúp bạn giới hạn những sự kiện cần thiết giám sát.