详述Windows2000系统日志及其删除方法

Windows 2000的日志文件通常包括应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。，这可能会根据服务器打开的服务而有所不同。当我们使用streamer检测时，比如IPC检测，我们会快速记下用户名、时间等。用于安全日志中的数据流检测。使用FTP检测后，我们会立即记下检测中使用的IP、时间、用户名和密码等。在FTP日志中。即使流式阴影开始，它需要msvcp60.dll，动态库链接库。如果服务器没有这个文件，它将被记录在日志中。这就是你不拿国产主机检测的原因。他们记下你的IP后会很容易找到你，只要他想找你！！还有调度程序日志，这也是一个重要的日志。要知道经常使用的srv.exe就是通过这个服务启动的，它记录了Scheduler服务启动的所有动作，比如服务的启动和停止。

日志默认位置:

应用程序日志、安全日志、系统日志和DNS日志的默认位置是%systemroot%\system32\config，默认文件大小是512KB。管理员将更改此默认大小。

安全日志文件:% systemroot % \ system32 \ config \ sec event . evt

系统日志文件:% systemroot % \ system32 \ config \ sys event . evt

应用程序日志文件:% systemroot % \ system32 \ config \ app event . evt

Internet信息服务的FTP日志的默认位置:% systemroot % \ system32 \ log files \ msftpsvc 1 \，默认情况下每天一个日志。

Internet信息服务WWW日志的默认位置:% systemroot % \ system32 \ log files \ w3svc 1 \，默认情况下每天一个日志。

计划程序服务日志默认位置:%systemroot%\schedlgu.txt

注册表中上述日志的项:

应用程序日志、安全日志、系统日志、DNS服务器日志，这些日志文件在注册表中:

HKEY _本地_机器\系统\当前控制集\服务\事件日志

一些管理员可能会重新定位这些日志。其中，EVENTLOG下有很多子表，在这些子表中可以找到上述日志的位置目录。

Schedluler服务日志在注册表中。

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ scheduling agent

FTP和WWW日志的详细说明:

默认情况下，FTP日志和WWW日志每天都会生成一个日志文件，其中包含当天的所有记录。文件名通常是ex(年)(月)(日)，例如ex001023，是2000年10月23日生成的日志，可以直接用记事本打开，如下例所示:

#软件:微软互联网信息服务5.0(微软IIS5.0)

#版本:1.0(版本1.0)

#日期:20001023 0315(服务开始日期)

# FIElds:time CIP cs method csuristem scstatus

015 127.0.0.1 [1]用户管理员331(IP地址为127.0.0.1，用户名为管理员尝试登录)

018 127.0.0.1 [1]通过–530(登录失败)

02: 04 127.0.0.1 [1]用户nt 331(IP地址为127.0.0.1、用户名为NT的用户尝试登录)

02: 06 127.0.0.1 [1]通过–530(登录失败)

02: 09 127.0.0.1 [1]用户cyz 331(IP地址为127.0.0.1，用户名为cyz的用户尝试登录)

022 127.0.0.1 [1]通过–530(登录失败)

0322 127.0.0.1 [1]用户管理员331(IP地址为127.0.0.1，用户名为管理员尝试登录)

024 127.0.0.1 [1]通行证–230(成功登录)

021 127.0.0.1 [1] mkdnt550(无法创建新目录)

025 127.0.0.1 [1]退出–550(退出FTP程序)

从日志中可以看出，IP地址为127.0.0.1的用户一直在尝试登录系统。只有在四次更改用户名和密码后，管理员才能立即知道管理员的入侵时间、IP地址和检测到的用户名。比如入侵者最后是用管理员用户名进入的，就要考虑修改这个用户名的密码，或者重命名管理员用户名。

WWW日志:

WWW服务和FTP服务一样，在% systemroot % \ system32 \ log files \ w3svc 1目录下生成日志。默认值是每天一个日志文件。下面是一个典型的WWW日志文件。

#软件:微软互联网信息服务5.0

#版本:1.0

#日期:20001023 03:091

# Fields:date time CIP cs username sip sport cs method csuri stem csuri query scstatus cs(user agent)

2000 10 23 03:091 192 . 168 . 1 . 26 192 . 168 . 1 . 37 80 GET/IIS start . ASP 200 Mozilla/4.0+(兼容；+MSIE+5.0；+Windows+98；+DigExt)

2000 10 23 03:094 192 . 168 . 1 . 26 192 . 168 . 1 . 37 80 GET/page error . gif 200 Mozilla/4.0+(兼容；+MSIE+5.0；+Windows+98；+DigExt)

通过分析第六行可以看出，2000年10月23日，IP地址为192.168.1.26的用户访问了IP地址为192.168.1.37的机器的80端口，查看了一个页面iisstart.asp，其浏览器是兼容的；+MSIE+5.0；+Windows+98+DigExt，有经验的管理员可以通过安全日志、FTP日志、WWW日志确定入侵者的IP地址和入侵时间。