熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

Windows2000的日志文件詳述

2013-11-11 21:43:25  來源: Windows系統管理 

  Windows的日志文件通常有應用程序日志安全日志系統日志DNS服務器日志FTP日志WWW日
  志等等可能會根據服務器所開啟的服務不同當我們用流光探測時比如說IPC探測就會在安全日志
  裡迅速地記下流光探測時所用的用戶名時間等等用FTP探測後也會立刻在FTP日志中記下IP時間
  探測所用的用戶名和密碼等等甚至連流影啟動時需要msvcpdll這個動庫鏈接庫如果服務器沒有這
  個文件都會在日志裡記錄下來這就是為什麼不要拿國內主機探測的原因了他們記下你的IP後會很容易
  地找到你只要他想找你!!還有Scheduler日志這也是個重要的LOG你應該知道經常使用srvexe就是通過這個服務來啟動的其記錄著所有由Scheduler服務啟動的所有行為如服務的啟動和停止
  日志文件默認位置
  
  應用程序日志安全日志系統日志DNS日志默認位置%systemroot%\system\config默認文件大小KB管理員都會改變這個默認大小
  
  安全日志文件%systemroot%\system\config\SecEventEVT
  系統日志文件%systemroot%\system\config\SysEventEVT
  應用程序日志文件%systemroot%\system\config\AppEventEVT
  Internet信息服務FTP日志默認位置%systemroot%\system\logfiles\msftpsvc\默認每天一個日志 Internet信息服務WWW日志默認位置%systemroot%\system\logfiles\wsvc\默認每天一個日志 Scheduler服務日志默認位置%systemroot%\schedlgutxt
  以上日志在注冊表裡的鍵
  應用程序日志安全日志系統日志DNS服務器日志它們這些LOG文件在注冊表中的
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
  有的管理員很可能將這些日志重定位其中EVENTLOG下面有很多的子表裡面可查到以上日志的定位目錄
  Schedluler服務日志在注冊表中
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
  
  FTP和WWW日志詳解
  
  FTP日志和WWW日志默認情況每天生成一個日志文件包含了該日的一切記錄文件名通常為ex(年份)(月份)(日期)例如ex就是日產生的日志用記事本就可直接打開如下例
  #Software: Microsoft Internet Information Services   (微軟IIS
  #Version: (版本
  #Date: (服務啟動時間日期)
  #Fields: time cip csmethod csuristem scstatus
   []USER administator  (IP地址為用戶名為administator試圖登錄)
   []PASS –  (登錄失敗)
  : []USER nt  (IP地址為用戶名為nt的用戶試圖登錄)
  : []PASS –  (登錄失敗)
  : []USER cyz  (IP地址為用戶名為cyz的用戶試圖登錄)
   []PASS –  (登錄失敗)
   []USER administrator  (IP地址為用戶名為administrator試圖登錄)
   []PASS –  (登錄成功)
   []MKD nt  (新建目錄失敗)
   []QUIT –  (退出FTP程序)
  
  從日志裡就能看出IP地址為的用戶一直試圖登錄系統換了四次用戶名和密碼才成功管理員立即就可以得知管理員的入侵時間IP地址以及探測的用戶名如上例入侵者最終是用administrator用戶名進入的那麼就要考慮更換此用戶名的密碼或者重命名administrator用戶
  WWW日志 WWW服務同FTP服務一樣產生的日志也是在%systemroot%\System\LogFiles\WSVC目錄下默認是每天一個日志文件下面是一個典型的WWW日志文件
  #Software: Microsoft Internet Information Services
  #Version:
  #Date: :
  #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
   : GET /iisstartasp Mozilla/+(compatible;+MSIE+;+Windows+;+DigExt)
   : GET /pagerrorgif Mozilla/+(compatible;+MSIE+;+Windows+;+DigExt)
  通過分析第六行可以看出IP地址為的用戶通過訪問IP地址為機器的端口查看了一個頁面iisstartasp這位用戶的浏覽器為
  compatible;+MSIE+;+Windows++DigExt有經驗的管理員就可通過安全日志FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間 既使你刪掉FTP和WWW日志但是還是會在系統日志和安全日志裡記錄下來但是較好的是只顯示了你的
  機器名並沒有你的IP例如上面幾個探測之後系統日志將會產生下面的記錄一眼就能看出系統因為某些事件出現警告雙擊頭一個打開它的屬性屬性裡記錄了出現警告的原因是因為有人試圖用
  administator用戶名登錄出現一個錯誤來源是FTP服務
  同時安全記錄裡寫將同時記下(Ekin:此圖不是此次示例的安全日志)
  
  
  在上圖中可以看到兩種圖標鑰匙(表示成功)和鎖(表示當用戶在做什麼時被系統停止)接連四個
  鎖圖標表示四次失敗審核事件類型是帳戶登錄和登錄注銷失敗日期為時間為
  這就需要重點觀察
  雙點第一個失敗審核事件的即得到此事件的詳細描述如下圖所示
  
  分析上圖我們可以得知有個CYZ的工作站用administator用戶名登錄本機但是因為用戶名未知或密
  碼錯誤(實際為密碼錯誤)未能成功
  另外還有DNS服務器日志不太重要就此略過(其實是我沒有看過它)
  
  知道了Windows日志的詳細情況下面就要學會怎樣刪除這些日志:通過上面得知日志文件通常有某項服務在後台保護除了系統日志安全日志應用程序日志等等
  它們的服務是Windos的關鍵進程而且與注冊表文件在一塊當Windows啟動後啟動服務來保
  護這些文件所以很難刪除而FTP日志和WWW日志以及Scedlgu日志都是可以輕易地刪除的
  首先要取得Admnistrator密碼或Administrators組成員之一然後Telnet到遠程主機先來試著刪除FTP日志
  D:\SERVER>del schedlgutxt
  D:\SERVER\SchedLgUTxt
  進程無法訪問文件因為另一個程序正在使用此文件
  說過了後台有服務保護先把服務停掉!
  D:\SERVER>net stop task scheduler
  下面的服務依賴於 Task Scheduler 服務
  停止 Task Scheduler 服務也會停止這些服務
  
  Remote Storage Engine
  
  是否繼續此操作? (Y/N) [N]: y
  Remote Storage Engine 服務正在停止
  Remote Storage Engine 服務已成功停止
  
  Task Scheduler 服務正在停止
  Task Scheduler 服務已成功停止
  OK它的服務停掉了同時也停掉了與它有依賴關系的服務再來試著刪一下!
  D:\SERVER>del schedlgutxt
  D:\SERVER>
  沒有反應?成功了!下一個是FTP日志和WWW日志原理都是一樣先停掉相關服務然後再刪日志!
  D:\SERVER\system\LogFiles\MSFTPSVC>del ex*log
  
  D:\SERVER\system\LogFiles\MSFTPSVC>
  以上操作成功刪除FTP日志!再來WWW日志!
  D:\SERVER\system\LogFiles\WSVC>del ex*log
  
  D:\SERVER\system\LogFiles\WSVC>
  OK!恭喜現在簡單的日志都已成功刪除下面就是很難的安全日志和系統日志了守護這些日志的服
  務是Event Log試著停掉它!
  D:\SERVER\system\LogFiles\WSVC>net stop eventlog
  這項服務無法接受請求的 暫停停止 操作
  KAOI 服了 U沒辦法它是關鍵服務如果不用第三方工具在命令行上根本沒有刪除安全日志和系
  統日志的可能!所以還是得用雖然簡單但是速度慢得死機的辦法打開控制面板管理工具中的
  事件查看器沒有知道用Wink的好處了吧)在菜單的操作項有一個名為連接到另一台
  計算機的菜單點擊它如下圖所示
  
  輸入遠程計算機的IP然後點支煙等上數十分鐘忍受象死機的折磨然後打開下圖
  
  選擇遠程計算機的安全性日志右鍵選擇它的屬性
  
  點擊屬性裡的清除日志按鈕OK!安全日志清除完畢!同樣的忍受痛苦去清除系統日志!
  目前在不借助第三工具的情況下能很快很順利地清除FTPWWW還有Schedlgu日志就是系統日志和
  安全日志屬於Windows的嚴密守護只能用本地的事件查看器來打開它因為在圖形界面下加之網
  速又慢如果你銀子多時間閒還是可以清除它的綜上所述介紹了Windows的日志文件以及刪
  除方法但是你必須是Administrator注意必須作為管理員或管理組的成員登錄才能打開安全日志記錄該過程適用於 Windows Professional 計算機也適用於作為獨立服務器或成員服務器運行的Windows Server 計算機
  
  至此Windows安全知識基礎講座完畢還有幾句話要講大家也看出來了
From:http://tw.wingwit.com/Article/os/xtgl/201311/9084.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.