Snare for Windows是一個(gè)Windows NT、Windows 2000、Windows XP和Windows 2003兼容的服務(wù),旨在與基礎(chǔ)Windows事件日志子系統(tǒng)相互作用,促進(jìn)遠(yuǎn)程,實(shí)時(shí)信息傳遞的事件日志。
Snare是一個(gè)便于收集中心和Windows NT/2000/XP/2003的事件日志信息。所有這三個(gè)主要事件日志(應(yīng)用,系統(tǒng)和安全)的監(jiān)測,并輔助日志(DNS,活動(dòng)目錄和文件復(fù)制),如果有監(jiān)察到有變動(dòng)。事件信息轉(zhuǎn)換為制表符分隔的文本格式,然后通過UDP傳送到遠(yuǎn)程服務(wù)器。
Snare是當(dāng)前配置提供審計(jì)資料的Syslog服務(wù)器
運(yùn)行在遠(yuǎn)程(或本地)的機(jī)器。一個(gè)配置實(shí)用程序允許您設(shè)置適當(dāng)?shù)南到y(tǒng)記錄和優(yōu)先目標(biāo),以及目標(biāo)的DNS或IP的服務(wù)器的事件信息應(yīng)得到解決。應(yīng)當(dāng)指出,許多系統(tǒng)日志服務(wù)器的設(shè)計(jì)并且各種應(yīng)付的多個(gè) Snare有可能產(chǎn)生。
Snare服務(wù)將自動(dòng)啟動(dòng)后,已初步完成配置過程。我們建議您配置您的事件日志,每個(gè)日志覆蓋的要求,而不是大于7天覆蓋一次,這是Windows 2000默認(rèn)的。
我們還建議您配置的Snare使用Regedt32.exe注冊表項(xiàng) - 限制的權(quán)限,讀取或修改的鍵和值,以本地或域管理員以適當(dāng)?shù)脑L問控制。
Snare 存儲(chǔ)的注冊表設(shè)置在:HKEY_LOCAL_MACHINESOFTWAREInterSect AllianceAuditService
請記住,事件監(jiān)測在最先進(jìn)的操作系統(tǒng)中是一個(gè)復(fù)雜的領(lǐng)域,而通常不是非常細(xì)微的。談到對一個(gè)系統(tǒng)通常可以產(chǎn)生不可預(yù)知的結(jié)果中的一件大事監(jiān)測,并可能嚴(yán)重減損的資源提供給您的系統(tǒng)或網(wǎng)絡(luò)的其余部分。
我們建議您對各種事件有一個(gè)確切了解,并使你的服務(wù)器中的監(jiān)察事情具有優(yōu)先權(quán)。