如果你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核，那么任何成功的入侵都将在安全日志中留下痕迹

推荐对服务器维护的做法：

1、建议每天最少检查一次安全日志。
推荐重点检查的ID事件
529：登录失败，试图使用未知用户名或带有错误密码的已知用户名进行登录。
528：用户成功登录到计算机上。
539：登录失败：登录帐号在登录尝试时被锁定。此事件表明有人发动密码攻击但未成功，因而导致账户锁定

682：用户重新连接到一个已经断开连接的终端服务器会话上。终端服务攻击
683：用户在没有注销的情况下与终端服务器会话断开连接。终端服务攻击

624：一个用户帐号被创建。
625：更改了用户账户类型
626：启用了用户账户
629：禁用了用户账户
630：删除了用户账户
以上5个事件可能是一个攻击者试图通过禁用或删除发动攻击时使用的账户来掩盖他们的踪迹。

577:用户试图执行受到权限保护的系统服务操作。
578:在已经处于打开状态的受保护对象句柄上使用权限。
577、578事件中详细信息中特权说明
SeTcbPrivilege特权：此事件可以表明一个用户通过充当操作系统的一部分来试图提升安全权限，如一个用户
试图将其账户添加到管理员组就会使用此特权
SeSystemTimePrivilege特权：更改系统时间。此事件可表明有一个用户尝试更改系统时间
SeRemoteShutDownPrivilege：从远程系统强制关闭
SeloadDriverPrivilege：加载或卸载驱动程序
SeSecurityPrivilege：管理审计和安全日志。在清除事件日志或向安全日志写入有关特权使用的事件是发生
SeShutDownPrivilege：关闭系统
SeTa keOwnershipPrivilege：取得文件或其他对象的所有权.此事件可表明有一个攻击者正在通过取得一个
对象的所有权来尝试绕过当前的安全设置

517:日志事件被清除或修改。此事件可以表明一个攻击者企图通过修改或删除日志文件来掩盖他们的踪迹
612:更改了审计策略。此事件可以表明一个攻击者企图通过修改审计策略来掩盖他们的踪迹
如为了掩盖删除日志文件的踪迹他可能先关闭系统事件的审核。

2、通过筛选器来查看重要性事件
方法：点击事件查看器窗口中的查看菜单，点击筛选，点击筛选器，定义自己的筛选选项，确定即可。

3、在查看完成之后备份事件
方法：点击事件查看器窗口中的操作菜单，点击导出列表，选择保存路径和文件名，如果保存类型
选择了“文本文件（制表符分隔）”，将会保存为文本文件。如果保存类型
选择了“文本文件（逗号分隔）”，将会保存为Excel文件。
当然也可以选择另存日志文件。
如果感觉这样保存麻烦也可以使用微软的resourceKit工具箱中的dumpel.exe配合计划任务可以实现
定期备份系统日志。

4、删除检查过的日志文件，日志文件越少越容易发现问题。

5、配合系统日志程序日志检测可疑内容

6、使用EventCombMT工具
EventCombMT是一个功能强大的多线程工具，它可同时分析许多服务器中的事件日志，为包含在搜索条件中的
每一台服务器生成一个单独的执行线程。利用它你可以定义
要搜索的单个事件ID或多个事件ID，用空格分格
定义一个要搜索的事件ID范围。如:528>ID<540
将搜索限定为特定的事件日志。如：只搜索安全日志
将搜索限定为特定的事件消息。如：成功审计
将搜索限制为特定的事件源。
搜索事件说明内的特定文本。
定义特定的时间间隔以便从当前日期和时间向后扫描
注：要使用该工具您需要安装WindowsServer2003ResourceKitTools.安装完成后在命令提示符下输入EventCombMT即可.

link:http://bbs.chinaz.com/archiver/Course/thread-4378861-1.html

本文来源：梧桐雨软件园转载于网络，转载请注明链接!