等保测评2.0：Windows安全审计(3)

二是日志满时将其存档，不覆盖事件。这个选项是2003操作系统中没有的，在Windows7操作系统中新增加的选项。如果选择了这个选项，那么到日志文件的大小达到上限时，操作系统不会覆盖原有的日志记录。而是先把旧的日志记录进行存档，然后再利用新的日志信息来覆盖旧的日志信息。

三是不覆盖事件。当日志文件达到上限值之后，系统不会继续记录新的事件信息。需要系统管理员手工清楚日志文件后，系统才会记录记录日志信息。

所以，日志大小应该按照被测评单位的实际需求进行设置，太小肯定是不符合的，而存储策略应该选第一项或者第二项，第三项可能会导致系统无法保存最新的记录。

5.5. 定期备份

对日志进行定期备份就不用多说了吧?

无论是自己手动去拷贝，或者将日志推送到日志综合审计平台等第三方系统或者备份一体机等备份工具去备份，都可以。

六、测评项d

应对审计进程进行保护，防止未经授权的中断。

这里实际上在测评项a那一部分说过了，默认就是开启的，Windows Event Log服务无法在一般情况下关闭。

顶多就是在存储策略下动手脚，比如去除掉日志文件的所有权限，亦或者在事件查看器中对日志的存储策略进行设置，比如将日志最大大小设置为极小等。

否则，这一项理论上默认满足，但是我觉得测评项的要求是递进的，前面的测评项不符合的话，这个顶多给部分符合吧(个人理解)。

七、日志综合审计系统

日志审计系统有两种：

一种是将各个设备(操作系统、网络设备等)的日志都推送到这个系统当中，一般都是syslog协议。

如果是这种，那么关于安全审计控制点中的所有测评项，还是要以windows上自己的策略设置为准，因为这个系统做的仅仅是将各个设备的日志抓取过来，如果windows本身没有开启安全审计或者审计策略未设置，那么该系统也没啥用，该没有就是没有。

另外一种是基于流量解析的审计，通过解析网络流量中的信息，进行事件记录，这种最常见的是各种数据库日志审计系统。但是对于操作系统特别是windows系统存不存在这种，我不知道。

对于linux系统，你操作的时候主要靠各种命令，那么对这些命令进行审计存在可能。

对于各类数据库，你也要用各类sql语句来进行交互，对于这些语句进行审计也是可能的。

但是对于windows系统，基本上都是图形化界面，顶多我输入账户、口令的时候能审计下，其余操作如果全用鼠标点击，这是没办法通过解析来进行审计的。

不过换一种设备的话，像很多堡垒机都存在录像功能，直接将windows的操作进行录像化保存，这种算不算日志审计，我也不清楚，看具体情况吧。