图 4 “目录服务变更”事件前后
如果创建了一个新对象,则在对象创建时所填充的属性值将被记录下来。如果在域内移动对象,则以前的位置和新位置(以可分辨名称的形式)将被记录下来。在设置了相应的“审核策略”后,默认会启用“old and new”(旧与新)功能。如果您希望将某个属性保持专有,如雇员 ID 号的变更,可通过对架构进行简单的修改来明确排除这些属性。如果在架构中将该属性的 searchFlags 属性改为 0x100(值 256 -NEVER_AUDIT_VALUE),如图 5 所示,则当该属性发生变更时,“目录服务变更”事件不会发生。
图 5 从目录服务变更中排除属性
最后,Windows Eventing 6.0 中一个非常不错的新功能是“Event Subscriptions”(事件订阅)。正如先前所述,访问和查看事件日志是一项非常重要的系统管理任务。新的“事件订阅”功能提供了一种方法,可在系统之间直接转发事件。“事件订阅”由收集事件的“事件收集器”和被配置为向指定主机转发事件的“事件源”组成。消耗事件的能力由 Windows Event Collector 服务(Windows Eventing 6.0 的新功能)提供,而订阅功能则被内置在 Windows Event Log 服务中。用户可以配置一个收集器,从各种事件源中收集事件,这里所说的事件源可以是 Windows Server 2008 或 Windows Vista 系统。
从事件源收集的所有数据都驻留在离散的名为 Forwarded Events (ForwardedEvents.evtx) 的事件日志中,并由收集器上的 Event Log 服务进行管理。对两个端点(收集器和源)的配置都是必不可少的,此操作可以自动进行(源上为 winrm quickconfig –q;收集器上为 wecutil qc /q)。要特别注意的是,此事件订阅功能不是为企业设计的,也不是要将事件提供给外部数据库的替换系统。
为了说明如何使用此功能,让我们假定有一个小 Web 场。您有一小组与特定网站(包括 Web 服务器和 SQL 服务器)关联的系统。这些系统可使用新的“事件订阅”功能,将其安全事件日志信息合并到单个系统中。环境规模越大,通常需要的事件日志合并工具集也越高级。
