windows2008服务器安全日志全是审核失败怎么回事

一、日志记录详细日志二、处理/解决方案

1.使用防火墙限制指定IP不能访问

2.在日志》网络信息》源网络地址: 58.211.7.237 查到尝试登录IP

3.使用防火墙限制此IP

　三、具体步骤

1. 打开服务管理器》高级安全Windows防火墙》如站规则

　2. 右键，新建入站规则

　 3.自定义规则

在高度安全环境中，Windows

安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持，但是更易被篡改。

将

SQL

Server

服务器审核写入

Windows

安全日志有两个关键要求：

必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。

在

Windows

Vista

和

Windows

Server

2008

中，使用审核策略工具

(

auditpol.exe

)。审核策略程序公开了

审核对象访问

类别中的多种子策略设置。若要允许

SQL

Server

审核对象访问，请配置

应用程序生成的设置。

对于

Windows

的早期版本，审核策略工具不可用。请改用安全策略管理单元

(secpol.msc

)。如果可用，优先采用审核策略，因为可以配置更精细的设置。

SQL

Server

服务正在其下运行的帐户必须拥有

生成安全审核

权限才能写入

Windows

安全日志。默认情况下，LOCAL

SERVICE

和

NETWORK

SERVICE

帐户拥有此权限。如果

SQL

Server

正在其中一个帐户下运行，则不需要此步骤。

将

Windows

审核策略配置为写入

Windows

安全日志时，可能会影响

SQL

Server

审核，此时若该审核策略配置不正确，就可能导致事件丢失。通常，将

Windows

安全日志设置为覆盖较旧的事件。这样可保留最新的事件。但如果

Windows

安全日志未设置为覆盖较旧的事件，则当安全日志已满时，系统将发出

Windows

事件

1104（日志已满）。此时：

不再记录其他安全事件

SQL

Server

将无法检测系统是否能够在安全日志中记录事件，从而导致可能丢失审核事件

Box

管理员修复安全日志后，日志记录行为将恢复正常。

SQL

Server

计算机的管理员应了解安全日志的本地设置可能会被域策略覆盖。在这种情况下，域策略可能覆盖子类别设置

(

auditpol

/get

/subcategory:"application

generated"

)。这可能会影响

SQL

Server

在无法检测

SQL

Server

尝试审核的事件是否将不被记录的情况下记录事件的能力。

您必须是

Windows

管理员，才能配置这些设置。

可能是你服务器曝光，或者被扫到了，赶紧修改下端口，如果有安全软件或者有管理安全组可以设置下白名单等，服务器有网站赶紧看下正常不，赶紧做好安全防护，还有安全技术问题不会的可以提供技术支持

---