详述Windows Server 2008全面审核策略

　　图 4 “目录服务变更”事件前后

　　如果创建了一个新对象，则在对象创建时所填充的属性值将被记录下来。如果在域内移动对象，则以前的位置和新位置(以可分辨名称的形式)将被记录下来。在设置了相应的“审核策略”后，默认会启用“old and new”(旧与新)功能。如果您希望将某个属性保持专有，如雇员 ID 号的变更，可通过对架构进行简单的修改来明确排除这些属性。如果在架构中将该属性的 searchFlags 属性改为 0x100(值 256 -NEVER_AUDIT_VALUE)，如图 5 所示，则当该属性发生变更时，“目录服务变更”事件不会发生。

　　图 5 从目录服务变更中排除属性

　　最后，Windows Eventing 6.0 中一个非常不错的新功能是“Event Subscriptions”(事件订阅)。正如先前所述，访问和查看事件日志是一项非常重要的系统管理任务。新的“事件订阅”功能提供了一种方法，可在系统之间直接转发事件。“事件订阅”由收集事件的“事件收集器”和被配置为向指定主机转发事件的“事件源”组成。消耗事件的能力由 Windows Event Collector 服务(Windows Eventing 6.0 的新功能)提供，而订阅功能则被内置在 Windows Event Log 服务中。用户可以配置一个收集器，从各种事件源中收集事件，这里所说的事件源可以是 Windows Server 2008 或 Windows 系统。

　　从事件源收集的所有数据都驻留在离散的名为 Forwarded Events (ForwardedEvents.evtx) 的事件日志中，并由收集器上的 Event Log 服务进行管理。对两个端点(收集器和源)的配置都是必不可少的，此操作可以自动进行(源上为 winrm quickconfig –q;收集器上为 wecutil qc /q)。要特别注意的是，此事件订阅功能不是为企业设计的，也不是要将事件提供给外部数据库的替换系统。

　　为了说明如何使用此功能，让我们假定有一个小 Web 场。您有一小组与特定网站(包括 Web 服务器和 SQL 服务器)关联的系统。这些系统可使用新的“事件订阅”功能，将其安全事件日志信息合并到单个系统中。环境规模越大，通常需要的事件日志合并工具集也越高级。