Windows NT的日志文件

　　如何能知道在Windows NT环境中安全防护是否已经被攻击或攻破呢?Windows NT的事件审计系统就可以完成这个功能，我们可以在【User ManagerPolicies】→【Audit】激发控制审计事件的功能。

　　通过这个功能可以审计各种操作成功和失败的信息，失败的信息通常比成功的信息少得多，但从安全性的角度考虑，失败事件更值得注意，另外，不常用的操作也很值得注意，如安全性策略的改变和再启动往往能反映出未经授权的行为。

　　Windows NT允许跟踪诸如File Access、Use of User Rights和Process Tracking等成功的操作，但这需要大量的存储空间，而且对跟踪所得的数据进行分析也不是一件容易的事情，使用审计功能，最关键的一步是要查看Windows NT在正常运行时所记录的事件日志，它能帮助我们发现问题的前兆。

　　审计日志本身也需要保护，因为非法用户在进入完成入侵之后通常会删掉其活动踪迹。首先我们应该定时的自动备份日志文件，但如果这些备份仍然是联机的，则也有可能被非法用户找到。一个比法是将审计事件记录同时制成硬拷贝，或者将其通过 E较好的解决方法是将审计事件记录同时制成硬拷贝，或者将其过能E-mail发送给系统管理员。