詳述Windows2000系統(tǒng)日志及其刪除方法

字號:

Windows 2000的日志文件通常有應(yīng)用程序日志,安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等,可能會根據(jù)服務(wù)器所開啟的服務(wù)不同。當(dāng)我們用流光探測時,比如說IPC探測,就會在安全日志里迅速地記下流光探測時所用的用戶名、時間等等,用FTP探測后,也會立刻在FTP日志中記下IP、時間、探測所用的用戶名和密碼等等。甚至連流影啟動時需要msvcp60.dll這個動庫鏈接庫,如果服務(wù)器沒有這個文件都會在日志里記錄下來,這就是為什么不要拿國內(nèi)主機(jī)探測的原因了,他們記下你的IP后會很容易地找到你,只要他想找你!!還有Scheduler日志這也是個重要的LOG,你應(yīng)該知道經(jīng)常使用的srv.exe就是通過這個服務(wù)來啟動的,其記錄著所有由Scheduler服務(wù)啟動的所有行為,如服務(wù)的啟動和停止。
    日志文件默認(rèn)位置:
    應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置:%systemroot%\system32\config,默認(rèn)文件大小512KB,管理員都會改變這個默認(rèn)大小。
    安全日志文件:%systemroot%\system32\config\SecEvent.EVT
    系統(tǒng)日志文件:%systemroot%\system32\config\SysEvent.EVT
    應(yīng)用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
    Internet信息服務(wù)FTP日志默認(rèn)位置:%systemroot%\system32\logfiles\msftpsvc1\,默認(rèn)每天一個日志
    Internet信息服務(wù)WWW日志默認(rèn)位置:%systemroot%\system32\logfiles\w3svc1\,默認(rèn)每天一個日志
    Scheduler服務(wù)日志默認(rèn)位置:%systemroot%\schedlgu.txt
    以上日志在注冊表里的鍵:
    應(yīng)用程序日志,安全日志,系統(tǒng)日志,DNS服務(wù)器日志,它們這些LOG文件在注冊表中的:
    HKEY_LOCAL_MacHINE\System\CurrentControlSet\Services\Eventlog
    有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目錄。
    Schedluler服務(wù)日志在注冊表中
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
    FTP和WWW日志詳解:
    FTP日志和WWW日志默認(rèn)情況,每天生成一個日志文件,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日產(chǎn)生的日志,用記事本就可直接打開,如下例:
    #Software: Microsoft Internet Information Services 5.0  (微軟IIS5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20001023 0315 (服務(wù)啟動時間日期)
    #FIElds: time cip csmethod csuristem scstatus
    0315 127.0.0.1 [1]USER administator 331 (IP地址為127.0.0.1用戶名為administator試圖登錄)
    0318 127.0.0.1 [1]PASS – 530 (登錄失敗)
    032:04 127.0.0.1 [1]USER nt 331 (IP地址為127.0.0.1用戶名為nt的用戶試圖登錄)
    032:06 127.0.0.1 [1]PASS – 530 (登錄失敗)
    032:09 127.0.0.1 [1]USER cyz 331 (IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)
    0322 127.0.0.1 [1]PASS – 530 (登錄失敗)
    0322 127.0.0.1 [1]USER administrator 331 (IP地址為127.0.0.1用戶名為administrator試圖登錄)
    0324 127.0.0.1 [1]PASS – 230 (登錄成功)
    0321 127.0.0.1 [1]MKD nt 550 (新建目錄失敗)
    0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)
    從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng),換了四次用戶名和密碼才成功,管理員立即就可以得知管理員的入侵時間、IP地址以及探測的用戶名,如上例入侵者最終是用administrator用戶名進(jìn)入的,那么就要考慮更換此用戶名的密碼,或者重命名administrator用戶。
    WWW日志:
    WWW服務(wù)同F(xiàn)TP服務(wù)一樣,產(chǎn)生的日志也是在%systemroot%\System32\LogFiles\W3SVC1目錄下,默認(rèn)是每天一個日志文件,下面是一個典型的WWW日志文件
    #Software: Microsoft Internet Information Services 5.0
    #Version: 1.0
    #Date: 20001023 03:091
    #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
    20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
    20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
    通過分析第六行,可以看出2000年10月23日,IP地址為192.168.1.26的用戶通過訪問IP地址為192.168.1.37機(jī)器的80端口,查看了一個頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt,有經(jīng)驗的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間。