日志审计系统V1.0成果信息

一个安全防护体系中，审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。

AngellPRO防火墙提供了非常强大的日志功能，总计包括五种日志内容:连接日志、攻击日志、代理日志、认证日志和配置日志，并且可以对日志的备份、维护、恢复等都提供了自动化的工具完成。

AngellPRO防火墙日志管理系统界面

基于防火墙日志信息，系统又提供了防火墙日志的审计和报表功能。几十种标准报表完全适应大多数组织的需求;饼形图和详细的日志纪录，可以有效地帮助组织分析相关的安全事件，明察秋毫。

AngellPRO防火墙日志系统统计界面

AngellPRO防火墙支持日志的防火墙本地存储、远端日志服务器存储、备份存储等存储方式。

除此以外，AngellPRO防火墙还提供了不同的日志内容、不同事件级别采取不同报警方式的功能。系统提供的告警方式包括:

声音报警

邮件通知

windows消息

用户终端

系统缓冲区

包含由应用程序或系统程序记录的事件。例如，数据库程序可在应用日志中记录文件错误。程序开发员决定记录哪一个事件。

包含Windows 2000的系统组件记录的事件。例如，在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows 2000预先确定由系统组件记录的事件类型。

记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。

对于IIS服务器而言，系统日志中记录的事件显得更加重要。如图，在事件查看器控制树中选择系统日志，则右侧窗格列出已经被记录的全部事件，事件分为：错误、警告、信息等不同类型。其中错误事件意味着服务启动失败或者某种功能的丧失，属于最严重的系统事件，应当十分关注；警告事件意味着存在发生错误的可能，但错误还并未发生，也应予以关注。此外，事件的记录是按照时间顺序从上到下依次排列的，最先发生的事件在事件列表的最下方，这样，按照一般的逻辑，先发生的错误是最致命的，它导致后来发生的全部错误，因此，最下面的错误通常是IIS工作不正常的根本原因。

事件列表中仅显示有关事件发生的时间、来源、分类和用户等有限信息，为了详细查看某一事件的描述或信息代码，应双击列表中的事件，查阅事件属性对话框。如右图所示，在事件属性对话框中详细描述事件发生的情况和可能的原因，典型的事件还给出了数据代码供程序员调试使用。单击事件属性对话框中的上下箭头可以继续查看上一个或下一个事件的详细信息。

关于事件查看器本身的属性，需在日志属性对话框中配置。三种日志可以独立的配置属性。右击事件查看器控制树中的日志节点，选择【属性】，打开如右图所示的属性对话框。最重要的日志属性是事件的老化机制，因为系统记录的事件随着时间的推移会愈来愈多，而我们并不需要保留很久以前的日志。日志老化可以通过文件大小和时间周期来指定，默认值为大于512KB的事件（较旧的）和久于7天的事件将被自动删除。单击【清除日志】按钮亦可手工清除日志中的全部事件。

某些情况下，我们不但不需要清除日志事件，还需要将它们保留起来作为记录，这是就应将事件记录保存为.evt文件。右击需要保存的日志节点，选择【另存日志文件】，然后指定文件路径并单击【确定】。打开被保存日志文件的方法与此相反，右击日志节点选择【打开日志文件】，然后指定路径。以文件方式保存的事件不受日志属性的限制，可以长期保存。