用“审核”来监控Windows Vista的一举一动

核心提示： 例如要审核登录事件，只需双击打开该策略，用“审核”来监控Windows Vista的一举一动(2)，然后勾选审核包括事件的成功和失败，最后单击“定”即可，需要说明的是，文件或者文件夹的监控是基于NTFS文件系统，这样Windows Vista就可以开始审核本地所有用

例如要审核登录事件，只需双击打开该策略，然后勾选审核包括事件的成功和失败，最后单击“定”即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件，包括用户成功登录和登录失败，这样有利用发现系统是否被非法登录并被入侵。

3、查看审核报告　　

在启用了审核策略后，系统就会在系统的日志中记录相关的事件。如果要查看日志，就需要通过“事件查看器”来进行查看，依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”，打开“事件查看器”控制台，在“Windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”等多个类别，单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录，可以打开该记录的详细信息窗口，用户便可以了解该事件的来源和发生事件、事件ID等。　　　　

右击某一类的事件日志，可以对其日志进行一些操作。例如，我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”，用于导入已存在的事件日志;如果日志记录太多，为了释放更多的空间，我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息，可以借助“筛选当前日志”功能，根据事件级别、事件ID、关键字、用户等信息进行筛选。

4、监控文件访问　　

文件监控在现实环境中非常实用，比如管理员设置了一个共享文件夹，但被人改得面目全非，我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作，然后进一步确定是哪个用户做的。需要说明的是，文件或者文件夹的监控是基于NTFS文件系统，所以分区格式必须是这种格式。