服务器日志分析工具软件、服务器日志监控软件、如何查看服务器日志？

作者：大势至     日期：2015.7.2

现在很多公司局域网都有自己的文件服务器，用于存储或共享一些文件供局域网用户访问使用。但是，在设置共享文件访问的过程中，经常出现共享文件被随意复制、修改甚至删除的情况发生，这使得共享文件的安全管理面临着较大风险。如何既可以让用户访问使用共享文件又可以阻止其对共享文件的不适当操作呢？笔者以为，可以通过以下两种方式来实现：
 
方法一、通过Windows服务器自带的“文件审核功能”来记录服务器文件访问日志、查看服务器文件操作日志。
 
有用户询问是否可以对文件服务器上的共享活页夹访问进行监控，比如对文件删除和修改进行监控和审核，对于误删除和误修改的人员进行追踪。市面上有很多第三方的软件可以实现这样的功能，其实微软的Windows服务器本身具备的审核功能就能满足类似的需求，但相比第三方软件而言，Windows服务器本身的文件审核功能只能将所有审核日志记录到事件日志中，对于事后的审核事件的查询和定位还是比较麻烦的，因为一旦启用审核功能，事件日志数据将会变得非常庞大。下面是如何启用Windows文件服务器审核功能的步骤： 

图：Windows服务器的“审核策略”

一、启用审核对象访问
 
1.      以具有管理员权限的帐户登录到文件服务器。
2.      确保已经安装“组策略”管理单元。
3.      单击开始，指向设置，然后单击控制面板。
4.      双击管理工具。
5.      双击本地安全策略，启动“本地安全设置”MMC 管理单元。
6.      双击本地策略将其展开，然后双击审核策略。
7.      在右窗格中，双击审核对象访问。
8.      单击选项：审核成功的尝试和审核失败的尝试。
注意：如果您是域成员并且已定义域级策略，则域级设置将替代本地策略设置。
 
二、设置Windows 文件或文件夹审核
 
1.      启动Windows 资源管理器（单击开始，依次指向程序、附件，然后单击Windows 资源管理器），然后找到要审核的文件或文件夹。
2.      右键单击该文件或文件夹，单击属性，然后单击安全选项卡。
3.      单击高级，然后单击审核选项卡。
4.      单击添加。在名称框中，键入要审核的用户的名称。
5.      单击确定以自动打开审核项对话框。
6.      根据要审核的访问类型，在访问下，单击成功、失败或成功和失败。
7.      如果要防止树中的文件和子文件夹继承这些审核项，请单击以选中“应用这些审核项”复选框。
 
三、使用Windows安全日志查看审核

1.      单击开始，指向设置，然后单击控制面板。
2.      双击管理工具，然后双击计算机管理。
3.      展开系统工具，然后展开事件查看器。
4.      单击安全日志。
 
方法二、借助于专门的服务器文件访问日志记录软件、服务器文件管理系统来记录局域网用户对共享文件的访问操作。
 

鉴于Windows服务器“文件审核”功能存在一些不足，不能满足一些用户对共享文件访问日志的精细分析的要求，这种情况下可以考虑部署一套专门的服务器共享文件日志记录软件，以详细记录局域网用户对服务器文件的各种操作行为。例如有一款“大势至局域网共享文件管理软件”（下载地址：http://www.grabsun.com/gongxiangwenjianshenji.html），只需要在共享文件的服务器部署以后，就可以详细记录局域网用户对共享文件的各种操作行为，详细记录共享文件的打开、复制、修改、删除、剪切和重命名等操作行为，并且还可以记录访问者的IP地址、MAC地址、主机名和域账号等信息，全面保护服务器共享文件的安全。同时，还可以只让修改共享文件而禁止删除共享文件、只让读取共享文件而禁止复制共享文件、只让查看共享文件而阻止共享文件另存为本地，从而极大地保护了共享文件的安全。如下图所示：

图：将共享文件添加到监控路径即可全面记录访问共享文件的各种日志

图：详细记录对共享文件的各种操作行为

总之，无论是通过操作系统自带的“文件审核”功能，还是借助于第三方服务器共享文件访问日志记录软件，都可以实现对共享文件的访问记录功能，只不过相对于操作系统的文件审核记录功能而言，通过专门的共享文件审计可以提供更为详实的共享文件访问日志记录功能，更好地保护共享文件的安全。