用户活动

·登记活动

·用户身份改变

·用户访问文件

·授权信息

·验证信息

处理活动

·用户运行的命令

·运行进程信息，包括程序名、用户、开始和停止时间、以及执行参数

系统活动

·系统的启动和关闭

·管理登录

网络连接

·试图与系统连接、已经与系统连接的细节（时间、地点、类型）

·从系统建立连接的细节

网络通讯监控

·所有网络通讯事务的记录

WEB服务活动

·远程主机名或IP地址、

·请求的日期和时间

·请求成功与否的回答码

·用户的远程登录名

4.1 用安全模式管理教育站点服务器

教育站点服务器管理包括为服务器增加新内容，检查服务器日志，安装新的外部程序以及改变服务器配置等等。这些管理可以在服务器控制台上完成，也可以通过网络在另一主机上来管理，无论从哪里来管，一定要确保其安全性，特别是以远程主机管理服务器时，安全更加重要。

⑴.当选用远程主机来管理教育站点服务器时，应选用安全的方式来管理

①.教育站点服务器主机应有很强的用户身份验证功能，要避免使用明文形式传输密码口令。

②.教育站点服务器从某一特定主机进行管理，主机的验证不依赖于网络解析信息，如IP地址或DNS名等。

③.在管理员主机与服务器之间的网络传输过程中，不应给入侵者提供访问服务器或内部网络的信息。

⑵.如果允许，可使用活动存贮介质把教育站点的内容拷贝到教育站点服务器上。

⑶.当需要在另一台主机上检查服务器的日志文件时，要用安全方法把日志文件传送到那台主机上。

⑷.当服务器的配置或站点内容改变后，要生成一个新的加密校验或其它的完整校验信息。

4.2 检查目录和文件有无意外的改变

网络环境中的文件系统包括了大量软件和数据文件，目录和文件的意外改变，特别是那些访问受到限制的目录和文件的意外改变，表明发生了某种入侵。入侵者为了隐藏他们在系统中的存在，通常用相同功能的程序替换系统的原有程序并修改日志文件，或在系统中生成新的文件。所以，利用检查系统的目录和文件的更改信息的方法，可尽早发现入侵。

⑴. 为系统文件建立优先级和检查时间表。

⑵. 对关键文件和目录一个权威参考数据，这些数据包括:

·在文件系统中的位置

·可选择的路径

·文件的内容、目录的入口

·实际长度、如可能还应有分配的单元

·文件和目录生成和最后修改的时间、日期

·所属权和访问许可设定

⑶. 按照建立的计划，用权威参考数据比较文件的属性和内容，查验目录和文件的完整性。

⑷.查验丢失的文件或目录

⑸.查验任何新的文件和目录

⑹.调查已发现的任何意外改变的原因

4.3 检查系统和网络日志

日志文件记录了系统和网络中发生的异常和意外活动，入侵者经常在日志文件中留下了其活动的足迹，因此定期地检查系统和网络日志是发现入侵者的方法之一。日志文件依操作系统、运行的应用软件和配置的不同而不同，表1给出了典型的日志文件包含的信息。