Blog

Hướng Dẫn Bảo Mật Log và Giám Sát Log Trên Windows Server 2019

Đối với doanh nghiệp, log hệ thống trên Windows Server 2019 là nguồn dữ liệu cực kỳ quan trọng. Nó giúp quản trị viên phân tích, điều tra và xử lý sự cố. Tuy nhiên, nếu log bị truy cập trái phép, chỉnh sửa hoặc xóa bỏ; thì hậu quả có thể rất nghiêm trọng. Ví dụ như: mất bằng chứng điều tra, bị che giấu tấn công, hoặc lộ thông tin nhạy cảm,…

Bài viết của GDATA sẽ hướng dẫn bạn bảo mật log và giám sát log hệ thống theo thời gian thực trên Windows Server 2019. Mời bạn đọc cùng tìm hiểu ngay thôi nào!

Hiểu rõ hơn về cơ chế logging Windows (.evtx, CLFS)

Định dạng XML .evtx đã được Microsoft ứng dụng từ Windows Vista trở đi. Nó cho phép lọc theo XPath. Ví dụ: lọc sự kiện theo EventID hoặc nội dung cụ thể. Còn Common Log File System (CLFS) là nền tảng log transactional cấp hệ thống, lưu các hoạt động I/O quan trọng. Bạn có thể viết module đọc raw CLFS để phục hồi log trong tình huống hệ thống bị tấn công.

Vì sao cần bảo mật log hệ thống?

Bảo mật log hệ thống vẫn luôn là điều quan trọng trong mỗi doanh nghiệp:

– Bảo vệ bằng chứng: Log là cơ sở pháp lý để truy vết hành vi tấn công, lịch sử truy cập.

– Phát hiện sớm sự cố: Giúp nhận biết hành vi bất thường như đăng nhập trái phép, thay đổi quyền hệ thống.

– Tuân thủ tiêu chuẩn an ninh: Nhiều quy định (ISO 27001, PCI DSS) yêu cầu doanh nghiệp bảo vệ và lưu trữ log an toàn.

Hướng dẫn bảo mật log trên Windows Server 2019

Bạn hãy đọc kỹ nội dung dưới đây để có thể đảm bảo yếu tố bảo mật log trên windows server 2019 nhé!

Bảo mật log Windows Server 2019

1. Giới hạn quyền truy cập log

Log chứa bằng chứng số (ai làm gì, khi nào, từ đâu). Nếu bất kỳ user/process nào có quyền xóa/chỉnh sửa, kẻ tấn công có thể xóa dấu vết sau khi đã leo thang quyền hoặc ăn cắp dữ liệu. Việc hạn chế quyền sẽ giúp giảm “attack surface” → ít tài khoản có thể tác động lên file log.

Hướng dẫn giới hạn quyền truy cập log:

a. Xem quyền hiện tại:

b. Các quyền khuyến nghị:

NT AUTHORITY\SYSTEM – FullControl (vì service chạy dưới tài khoản hệ thống cần quyền ghi/ghi lại).
BUILTIN\Administrators — Read (để admin đọc).
EVENT LOG SERVICE / LOCAL SERVICE tùy cấu hình – giữ quyền như mặc định để service hoạt động.
Loại bỏ quyền cho các User chung (Users) hoặc nhóm không cần thiết.

c. Mẫu lệnh an toàn:

d. Kiểm tra Event Log service:
Sau thay đổi: Get-Service -Name eventlog → start/stop nếu cần. Nếu service không khởi động, phục hồi ACL bằng file đã lưu:

e. Audit truy cập thư mục log:
Bật auditing (Advanced Security → Auditing) trên C:\Windows\System32\winevt\Logs để ghi lại ai đọc/ghi/đổi permissions.

2. Mã hóa file log bằng BitLocker hoặc EFS – Bảo mật log

Mã hóa giúp giảm rủi ro rò rỉ thông tin nhạy cảm trong log. Nếu kẻ tấn công vật lý lấy ổ đĩa (ransomware, tháo ổ), mã hóa đảm bảo dữ liệu log không đọc được bên ngoài máy chủ.

– Dùng EFS (Encrypting File System):

– Dùng BitLocker cho toàn bộ ổ đĩa chứa log để tránh bị truy xuất khi ổ cứng bị tháo ra.

Mở BitLocker Drive Encryption → chọn ổ chứa log (ví dụ D:) → Turn on BitLocker.
Chọn phương pháp bảo vệ: TPM + recovery password. Lưu recovery key ở nơi an toàn (AD hoặc HSM).
Kiểm tra bằng manage-bde -status D:.

3. Thiết lập giới hạn kích thước log & ghi đè an toàn

Nếu log đầy, Windows có thể ghi đè các sự kiện cũ, mất dữ liệu/ bằng chứng. Thiết lập Archive giúp đảm bảo log cũ được lưu, không mất dữ liệu.

Cách cấu hình:

– Trong Event Viewer → Properties của từng log → chọn Archive the log when full, do not overwrite events để tránh mất dữ liệu cũ.

– Tự động lưu trữ log ra phân vùng riêng (D:\Logs) bằng Task Scheduler:

powershell
wevtutil epl Security "D:\Logs\Security-%date%.evtx"

Script export mẫu (export-logs.ps1): Tạo Scheduled Task chạy mỗi 6 giờ để export logs.

– Retention policy – đặt chính sách lưu trữ (VD: bảo lưu 180 ngày), tự động xóa file cũ:

Giám sát log hệ thống theo thời gian thực

Bạn đã biết cách giám sát log theo thời gian thực. Hãy tiếp tục follow nội dung dưới đây của GDATA nhé!

1. Bật Audit Policy chi tiết – Giám sát log và bảo mật log

Advanced Audit Policy cho phép audit ở mức rất chi tiết (subcategories). Giúp bạn giám sát chính xác hành vi rủi ro (tạo account, thay đổi group, đọc file quan trọng…).

Mở Local Security Policy (secpol.msc) → Advanced Audit Policy Configuration → Bật các nhóm:

Logon/Logoff: Giúp phát hiện đăng nhập lạ, replay attacks, login từ IP khác.
Object Access: Theo dõi truy cập file/folder quan trọng (giải pháp chống exfil).
Policy Change: Phát hiện kẻ tấn công thay đổi cấu hình audit để che dấu.
Account Logon: Xác thực domain, phát hiện credential misuse.
Privilege Use: Phát hiện việc sử dụng quyền cao (SeDebugPrivilege…).

2. Phát hiện sự kiện bất thường bằng PowerShell – Bảo mật log chi tiết

PowerShell linh hoạt, có thể kết hợp lọc, phân tích nhanh và tự động hóa gửi cảnh báo.

Get-WinEvent và Get-EventLog:

Get-WinEvent mạnh hơn, hỗ trợ EVTX, filtering bằng XML/XPath, dùng cho Windows Vista+.
Get-EventLog cũ hơn, hạn chế.

Ví dụ: Giám sát đăng nhập thất bại (Event ID 4625):

3. Gửi cảnh báo email khi có sự kiện nghi vấn

Ghi log gửi cảnh báo để audit (ai đã gửi cảnh báo, khi nào).

powershell
$event = Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} -MaxEvents 1 if ($event) {
Send-MailMessage -To "admin@yourdomain.com" ` -From "server@yourdomain.com" ` -Subject "Cảnh báo đăng nhập thất bại" ` -Body $event.Message ` -SmtpServer "mail.yourdomain.com"
}

Ví dụ gửi email an toàn (sử dụng .NET SmtpClient và PSCredential):

Ưu tiên: Bạn nên dùng relay nội bộ/Exchange connector với IP allowlist.

4. Công cụ giám sát log nâng cao – Bảo mật log

Dưới đây là một số công cụ giám sát log nâng cao hơn, bạn có thể tham khảo:

Windows Event Forwarding (WEF): Thu thập log từ nhiều server về một máy chủ phân tích trung tâm.
Sysmon: EventLog bình thường thiếu chi tiết như hash file, parent process, network connection. Sysmon có bổ sung event-level telemetry quan trọng để phát hiện APT.
Microsoft Defender for Endpoint / ATP: Cung cấp EDR, tích hợp với Windows Events & Advanced Hunting. Công cụ này có ưu điểm trong: detection rules, investigation graph, automated response.
Grafana + Loki: Vẽ dashboard log real-time, dễ theo dõi. Đây là stack nhẹ cho logging (Loki lưu log, Grafana hiển thị).

Mẹo bảo mật log nâng cao (chỉ có tại GDATA)

1. Đưa log ra phân vùng riêng + RAID 1 để tránh mất dữ liệu khi ổ cứng hỏng.

2. Đồng bộ log lên Cloud (AWS S3, Azure Blob) bằng PowerShell định kỳ.

3. Ký số file log bằng SignTool để chống chỉnh sửa. Đảm bảo tính toàn vẹn – file được ký số sẽ không thể bị chỉnh sửa mà không bị phát hiện.

4. Tạo hash SHA256 cho log, lưu vào file .txt để so sánh khi cần.

Bảo mật log thế nào khi phát hiện bất thường?

Vậy nếu bạn phát hiện bất thường khi giám sát log, bạn cần làm gì?

1. Isolate host (quarantine VLAN / disable NIC).

2. Export & collect memory dump (nếu cần) & toàn bộ logs.

3. Lưu evidence lên immutable storage.

4. Phân tích root cause (sysmon, event logs, network capture).

5. Remediate (patch, rotate creds) & báo cáo.

Checklist triển khai nhanh – bảo mật log

Backup ACL gốc: icacls /save ...

Cấu hình NTFS & Audit trên C:\Windows\System32\winevt\Logs

Bật Advanced Audit Policy cần thiết

Tạo script export logs & schedule task

Triển khai BitLocker trên phân vùng chứa backup logs

Cài Sysmon + sysmon-config

Thiết lập WEF (collector + subscription)

Tích hợp NXLog → ELK / Splunk / Defender

Thiết lập hashing/signing cho logs và verify script

Test end-to-end & document runbook

Kết luận

Bảo mật log và giám sát log trên Windows Server 2019 không chỉ là nhiệm vụ bảo vệ dữ liệu. Đây còn là biện pháp chủ động phát hiện và ngăn chặn tấn công. Chỉ khi áp dụng đầy đủ các bước và kỹ thuật, hệ thống của bạn mới an toàn, dễ quản lý. Đồng thời, doanh nghiệp có thể luôn sẵn sàng đối phó với mọi mối đe dọa. Nếu bạn có bất kỳ câu hỏi nào, hãy liên hệ ngay với GDATA để được hỗ trợ nhanh nhất nhé!

Thông tin liên hệ:

Hotline: 0904 299 668

Tổng đài: 1800 4814 – Phím 2

Email: lienhe@gdata.com.vn

Website: gdata.com.vn

Facebook:https://www.facebook.com/gdata.com.vn

CÔNG TY CP DỮ LIỆU TOÀN CẦU

Địa chỉ: Tầng 03 Tòa Lạc Hồng/ 27 Lê Văn Lương, Thanh Xuân, Hà Nội

GDATA – Thuê VPS toàn diện cho doanh nghiệp!

18/08/2025
1859 Lượt xem

Tác giả: Cao Thùy Dung

Tôi là Cao Thùy Dung, với hơn 4 năm kinh nghiệm phát triển nội dung số. Trong đó, với hơn 1 năm kinh nghiệm trong lĩnh vực công nghệ thông tin, đặc biệt chuyên sâu về các chủ đề Cloud VPS, Cloud Server, bảo mật mạng, chuyển đổi số và hạ tầng IT.Tôi mong muốn các bài viết khoa học – dễ hiểu – thực tiễn sẽ giúp bạn đọc ở mọi trình độ dễ dàng tiếp cận kiến thức kỹ thuật phức tạp.