Quản Trị Mạng – Nhu
cầu sử dụng các bản ghi bảo mật được tạo trong máy chủ Windows và
desktop là vô cùng lớn do đó trong hướng dẫn này, chúng tôi sẽ giới
thiệu cho các bạn cách truy cập các bản ghi bảo mật từ xa một cách hiệu
quả.
Như chúng ta đã biết, các bản ghi bảo
mật được tạo ra trên máy chủ Windows hoặc các máy trạm desktop có thể
được sử dụng để khắc phục sự cố, kiểm tra việc truy cập dữ liệu, ghi
chép lại sự truy cập của người dùng và thậm chí còn mang tính pháp lý.
Một vấn đề phát sinh đối với các bản ghi bảo mật trong Windows là chúng
được lưu trên máy tính xảy ra sự việc, do đó rất khó khăn cho việc
truy cập, quản lý và tổ chức chúng. Tuy nhiên, chúng ta có thể sử dụng
một số công cụ và kỹ thuật, hay một số tùy chọn để thu thập các thông
tin từ một hoặc nhiều máy tính Windows từ xa một cách hiệu quả.
Event Viewer
Phần mềm Event Viewer trong Windows
Vista và Server 2008 có một số tính năng mới mà chúng ta nên xem xét
nếu muốn truy cập từ xa các bản ghi bảo mật này. Một số tính năng mới
này có thể giúp tìm ra các sự kiện bảo mật chính, thậm chí còn cho phép
lọc ra các sự kiện cần tìm giữa hàng ngàn sự kiện. Cấu trúc và sự trợ
giúp trong Event Viewer tỏ ra rất hữu dụng, nhiều tính năng khác như
filtering, custom views, liên kết nhiệm vụ cho sự kiện thậm chí còn cho
phép người dùng tăng quyền kiểm soát đối với các sự kiện hơn nữa.
Filters
Mỗi một bản ghi bên trong Event Viewer
đều có một tùy chọn lọc. Tùy chọn lọc này sẽ cho phép bạn thu hẹp phạm
vi những gì được thể hiện bên trong bản ghi, giúp bạn thấy rõ những sự
kiện thực sự cần.
Để cấu hình tính năng lọc này, chúng ta
chỉ cần kích vào bản ghi mà bạn muốn lọc, sau đó chọn Filter Current
Log trên panel bên phải. Hộp thoại Filter Current Log sẽ xuất hiện như
những gì thể hiện trong hình 1, từ đây bạn có thể cấu hình những gì cần
thiết.
Hình 1: Các tùy chọn lọc cho mỗi bản ghi bên trong Event Viewer
Custom Views
Tính năng custom views bên trong Event
Viewer cho phép thực hiện một số thao tác với các sự kiện cụ thể hết
sức dễ ràng. Nó cho phép quan sát các sự kiện để tìm kiếm xu thế và kết
hợp các sự kiện để tìm ra đối tượng xâm nhập hoặc khắc phục các vấn
đề.
Ưu điểm chính của custom views là chúng
ta có thể thao tác với bất cứ bản ghi nào, thậm chí các bản ghi từ máy
tính khác. Miễn là nó phải nằm trên máy tính mà bạn đang tạo custom
view, bạn có thể bổ sung thêm bất cứ sự kiện nào cho custom view. Cho
ví dụ, xem xét một tình huống mà ở đó chúng ta đang gặp phải vấn đề với
bản sao giữa các domain controller. Rõ ràng rằng, nếu một số domain
controller có tất cả thông tin đúng, một số domain controller chỉ có
vài thông tin và một số domain controller không có bất cứ nâng cấp nào.
Trong trường hợp này, bạn có thể tạo một custom view từ các bản ghi
khác trên một máy tính. Sau đó sử dụng toàn bộ bản ghi Active
Directory hoặc chỉ định event ID từ Active Directory (hay bất cứ bản ghi
nào khác).
Để có thêm thông tin về cách cài đặt custom views, bạn có thể truy cập [You must be registered and logged in to see this link.].
Tasks
Bên trong Event Viewer, bạn còn có thể
liên kết nhiệm vụ đã được lên lịch trình cho sự kiện hoặc event ID. Có
rất nhiều tùy chọn được cung cấp ở đây cho bất cứ ai có nhu cầu khi
xuất hiện các hành động nào đó trên hệ thống. Các nhiệm vụ có thể được
tạo trực tiếp trong Event Viewer bằng cách kích vào sự kiện, sau đó
chọn “Attach task to this event” trên panel phải. Dù
thực hiện bằng cách nào thì bạn cũng sẽ bắt gặp các tùy chọn có thể
chọn cho nhiệm vụ. Bạn cũng có thể khởi chạy Task Scheduler, tiện ích
có một tùy chọn mới cho việc thiết lập các nhiệm vụ có liên quan tới
các sự kiện.
Để có thêm thông tin về thiết lập nhiệm vụ bên trong Event Viewer cho các sự kiện và bản ghi, bạn có thể truy cập [You must be registered and logged in to see this link.].
EventComb
EventComb là công cụ được tạo và phát
hành bởi Microsoft. Đây cũng là một công cụ khá ấn tượng, người dùng sẽ
thấy các tùy chọn có sẵn bên trong cửa sổ giao diện EventComb ở hình
2. Mặc dù vậy, EventComb còn ấn tượng hơn nhiều, điều này phụ thuộc vào
những gì bạn cần thu thập cho các sự kiện. Bạn có thể thấy tất cả các
tùy chọn có sẵn bên trong cửa sổ giao diện EventComb trong hình 2.
Hình 2: EventComb cho phép thực hiện một số điều chỉnh trong việc thu thập các sự kiện trên máy tính từ xa
Để có được EventComb, bạn có thể download nó [You must be registered and logged in to see this link.].
Một số gợi ý khi chạy EventComb là nó
sẽ tạo một file cục bộ trên mỗi máy tính bạn quét. Chương trình sẽ
không tạo một file mà là nhiều file, tuy nhiên bạn có thể lấy những
file được tạo và import chúng vào Excel, sau đó thực hiện tìm kiếm trên
tất cả các file và sự kiện. Khả năng có thể kiểm soát và tìm kiếm các
sự kiện theo cách này cho phép tìm ra các vấn đề dễ dàng hơn rất nhiều.
cầu sử dụng các bản ghi bảo mật được tạo trong máy chủ Windows và
desktop là vô cùng lớn do đó trong hướng dẫn này, chúng tôi sẽ giới
thiệu cho các bạn cách truy cập các bản ghi bảo mật từ xa một cách hiệu
quả.
Như chúng ta đã biết, các bản ghi bảo
mật được tạo ra trên máy chủ Windows hoặc các máy trạm desktop có thể
được sử dụng để khắc phục sự cố, kiểm tra việc truy cập dữ liệu, ghi
chép lại sự truy cập của người dùng và thậm chí còn mang tính pháp lý.
Một vấn đề phát sinh đối với các bản ghi bảo mật trong Windows là chúng
được lưu trên máy tính xảy ra sự việc, do đó rất khó khăn cho việc
truy cập, quản lý và tổ chức chúng. Tuy nhiên, chúng ta có thể sử dụng
một số công cụ và kỹ thuật, hay một số tùy chọn để thu thập các thông
tin từ một hoặc nhiều máy tính Windows từ xa một cách hiệu quả.
Event Viewer
Phần mềm Event Viewer trong Windows
Vista và Server 2008 có một số tính năng mới mà chúng ta nên xem xét
nếu muốn truy cập từ xa các bản ghi bảo mật này. Một số tính năng mới
này có thể giúp tìm ra các sự kiện bảo mật chính, thậm chí còn cho phép
lọc ra các sự kiện cần tìm giữa hàng ngàn sự kiện. Cấu trúc và sự trợ
giúp trong Event Viewer tỏ ra rất hữu dụng, nhiều tính năng khác như
filtering, custom views, liên kết nhiệm vụ cho sự kiện thậm chí còn cho
phép người dùng tăng quyền kiểm soát đối với các sự kiện hơn nữa.
Filters
Mỗi một bản ghi bên trong Event Viewer
đều có một tùy chọn lọc. Tùy chọn lọc này sẽ cho phép bạn thu hẹp phạm
vi những gì được thể hiện bên trong bản ghi, giúp bạn thấy rõ những sự
kiện thực sự cần.
Để cấu hình tính năng lọc này, chúng ta
chỉ cần kích vào bản ghi mà bạn muốn lọc, sau đó chọn Filter Current
Log trên panel bên phải. Hộp thoại Filter Current Log sẽ xuất hiện như
những gì thể hiện trong hình 1, từ đây bạn có thể cấu hình những gì cần
thiết.
Hình 1: Các tùy chọn lọc cho mỗi bản ghi bên trong Event Viewer
Custom Views
Tính năng custom views bên trong Event
Viewer cho phép thực hiện một số thao tác với các sự kiện cụ thể hết
sức dễ ràng. Nó cho phép quan sát các sự kiện để tìm kiếm xu thế và kết
hợp các sự kiện để tìm ra đối tượng xâm nhập hoặc khắc phục các vấn
đề.
Ưu điểm chính của custom views là chúng
ta có thể thao tác với bất cứ bản ghi nào, thậm chí các bản ghi từ máy
tính khác. Miễn là nó phải nằm trên máy tính mà bạn đang tạo custom
view, bạn có thể bổ sung thêm bất cứ sự kiện nào cho custom view. Cho
ví dụ, xem xét một tình huống mà ở đó chúng ta đang gặp phải vấn đề với
bản sao giữa các domain controller. Rõ ràng rằng, nếu một số domain
controller có tất cả thông tin đúng, một số domain controller chỉ có
vài thông tin và một số domain controller không có bất cứ nâng cấp nào.
Trong trường hợp này, bạn có thể tạo một custom view từ các bản ghi
khác trên một máy tính. Sau đó sử dụng toàn bộ bản ghi Active
Directory hoặc chỉ định event ID từ Active Directory (hay bất cứ bản ghi
nào khác).
Để có thêm thông tin về cách cài đặt custom views, bạn có thể truy cập [You must be registered and logged in to see this link.].
Tasks
Bên trong Event Viewer, bạn còn có thể
liên kết nhiệm vụ đã được lên lịch trình cho sự kiện hoặc event ID. Có
rất nhiều tùy chọn được cung cấp ở đây cho bất cứ ai có nhu cầu khi
xuất hiện các hành động nào đó trên hệ thống. Các nhiệm vụ có thể được
tạo trực tiếp trong Event Viewer bằng cách kích vào sự kiện, sau đó
chọn “Attach task to this event” trên panel phải. Dù
thực hiện bằng cách nào thì bạn cũng sẽ bắt gặp các tùy chọn có thể
chọn cho nhiệm vụ. Bạn cũng có thể khởi chạy Task Scheduler, tiện ích
có một tùy chọn mới cho việc thiết lập các nhiệm vụ có liên quan tới
các sự kiện.
Để có thêm thông tin về thiết lập nhiệm vụ bên trong Event Viewer cho các sự kiện và bản ghi, bạn có thể truy cập [You must be registered and logged in to see this link.].
EventComb
EventComb là công cụ được tạo và phát
hành bởi Microsoft. Đây cũng là một công cụ khá ấn tượng, người dùng sẽ
thấy các tùy chọn có sẵn bên trong cửa sổ giao diện EventComb ở hình
2. Mặc dù vậy, EventComb còn ấn tượng hơn nhiều, điều này phụ thuộc vào
những gì bạn cần thu thập cho các sự kiện. Bạn có thể thấy tất cả các
tùy chọn có sẵn bên trong cửa sổ giao diện EventComb trong hình 2.
Hình 2: EventComb cho phép thực hiện một số điều chỉnh trong việc thu thập các sự kiện trên máy tính từ xa
Để có được EventComb, bạn có thể download nó [You must be registered and logged in to see this link.].
Một số gợi ý khi chạy EventComb là nó
sẽ tạo một file cục bộ trên mỗi máy tính bạn quét. Chương trình sẽ
không tạo một file mà là nhiều file, tuy nhiên bạn có thể lấy những
file được tạo và import chúng vào Excel, sau đó thực hiện tìm kiếm trên
tất cả các file và sự kiện. Khả năng có thể kiểm soát và tìm kiếm các
sự kiện theo cách này cho phép tìm ra các vấn đề dễ dàng hơn rất nhiều.