上篇文章中，我們已經知道了審計過程中遇到的各種事件，那么解決方案是什么呢？

答案是使用第三方產品來審計這項活動。比如QuestSoftware公司以及Symantec公司都有做這項工作的工具。微軟是否會在新版的Windows中改變這個情況還不得而知。

使用事件查看器

在解決這個問題的過程中，WindowsServer2008中事件查看器功能起了很關鍵的作用。安全日志以其文件大小而聞名（文件非常大）---尤其是在審計的時候。當開啟了GPO審計和對象級別的審計后，每個單一的屬性變化系統都會記錄20到30個事件。我可以使用事件查看器中的高級過濾功能建立幾個過濾器，而且當有策略改變或者對象改變發生的時候只要刷新他們就可以了，這樣我就可以只查看重要的事件。

如圖5所示，過濾器建立在自定義視圖文件夾下。在這個例子中，我能夠分清楚事件級別，一個或者更多的ID數量、一個或者更多的事件日志（請注意，我在這里只需要安全日志，但是如果我想要其他日志的話也可以添加）等。我還指定了一個“持續12小時”的時間限定來進一步限制過濾功能，而且我用本地名字把它存起來。舉個例子，如果我以后決定想要添加或者刪除事件ID，那么我可以編輯該過濾器，保存修改，然后刷新顯示，我就會得到一個新的事件數據集合。

圖5.自定義視圖文件夾

把全部的安全日志進行分類需要非常長的時間；自定義視圖過濾器只需要一兩秒的時間就可以完成這項工作。當然這里也存在危險，如果你沒有把必要的事件包含在過濾器中，那么他們也不會出現在過濾結果中。在我的例子中，我在最后一小時的時候開始使用過濾器限制事件，然后找到與我的審計有關的事件并把他們添加到過濾器中事件ID里。從圖5中你可以看到，我定義了許多個不同目的自定義視圖，他們也是可以使用的。

我使用的另外一個功能是把細節復制成文本。過去如果想要得到事件ID4738的詳細信息，我要進行多次截屏才能完成，因為事件的詳細信息在一頁內顯示不完。在WindowsServer2008事件查看器中，只需要右擊某個事件，選擇復制>復制成文本選項，然后就可以把信息粘貼在類似于Notepad的記事本中了。這樣就能夠以文檔的方式顯示所有的信息了。

現在假設你想檢查一段時間內所有的事件---比如說從早上8點到下午5點---并且要把這些事件發送給一個技術支持工程師或者說想要一個比較小的文件。你只要在事件查看器中選擇想要的事件，右擊，然后選擇保存所選事件選項并且指定保存路徑（圖6）就可以了。這樣做可以生成一個比較小的事件日志文件，讓檢測核查工作更加簡單，文件也容易轉移。

圖6.保存所選事件

最后，圖7顯示了保存日志功能。在舊版本的文件查看器中，如果你加載了保存日志，他們將會在事件查看器關閉之后消失。但是現在他們會一直都會存在，直到你刪除他們。此外，現在的事件查看器版本中他們有自己的名字，而在舊版的事件查看器中他們被統稱為“保存的應用程序日志”。WindowsServer2008中的事件查看器還可以分辨出事件日志是哪種類型（系統、應用程序等等），所以你不必指定日志類型，使用起來更加方便。

圖7.保存日志功能

那么讓我們快速總結一下本文所描述的內容。雖然WindowsServer2008R2中的屬性審計是一個強大的功能，但是它缺少核查審計計劃改變的能力，這樣的后果就是有些靠不住的域管理員可能會做出破壞性的改變。當你沒有辦法來檢查這種事情的時候，分辨一個管理員是否值得信任非常困難。雖然有些第三方軟件對此會有所幫助，但是這一點畢竟是Windows審計中的弱點。

WindowsServer2008中EventViewer的新功能具有極大的靈活性以及強大的過濾功能，這是舊版本的軟件所不具備的。它可以產生非常好的數據報告，在系統監測過程中提供很大的幫助。它還可以協助管理員快速識別關鍵事件，不用再通過辛苦的查看大量日志才找到那些與問題有關的事件。

總結：

希望本系列教大家利用WindowsServer2008中的事件查看器來審計AD管理員的方法能夠對讀者有所幫助，更多有關操作系統的知識還有待于讀者去探索和學習。

【編輯推薦】

1. FileZilla實用功能之文件過濾器
2. WindowsServer2008安全無處不在
3. WindowsServer2008R2域控制器:RODC
4. 提升WindowsServer2008上網速度的方法
5. WindowsServer2008R2系統啟用審計功能的記錄事件