详述Windows2000系统日志及其删除方法
Windows 2000的日志文件通常包括应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等。,这可能会根据服务器打开的服务而有所不同。当我们使用streamer检测时,比如IPC检测,我们会快速记下用户名、时间等。用于安全日志中的数据流检测。使用FTP检测后,我们会立即记下检测中使用的IP、时间、用户名和密码等。在FTP日志中。即使流式阴影开始,它需要msvcp60.dll,动态库链接库。如果服务器没有这个文件,它将被记录在日志中。这就是你不拿国产主机检测的原因。他们记下你的IP后会很容易找到你,只要他想找你!!还有调度程序日志,这也是一个重要的日志。要知道经常使用的srv.exe就是通过这个服务启动的,它记录了Scheduler服务启动的所有动作,比如服务的启动和停止。
日志默认位置:
应用程序日志、安全日志、系统日志和DNS日志的默认位置是%systemroot%\system32\config,默认文件大小是512KB。管理员将更改此默认大小。
安全日志文件:% systemroot % \ system32 \ config \ sec event . evt
系统日志文件:% systemroot % \ system32 \ config \ sys event . evt
应用程序日志文件:% systemroot % \ system32 \ config \ app event . evt
Internet信息服务的FTP日志的默认位置:% systemroot % \ system32 \ log files \ msftpsvc 1 \,默认情况下每天一个日志。
Internet信息服务WWW日志的默认位置:% systemroot % \ system32 \ log files \ w3svc 1 \,默认情况下每天一个日志。
计划程序服务日志默认位置:%systemroot%\schedlgu.txt
注册表中上述日志的项:
应用程序日志、安全日志、系统日志、DNS服务器日志,这些日志文件在注册表中:
HKEY _本地_机器\系统\当前控制集\服务\事件日志
一些管理员可能会重新定位这些日志。其中,EVENTLOG下有很多子表,在这些子表中可以找到上述日志的位置目录。
Schedluler服务日志在注册表中。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ scheduling agent
FTP和WWW日志的详细说明:
默认情况下,FTP日志和WWW日志每天都会生成一个日志文件,其中包含当天的所有记录。文件名通常是ex(年)(月)(日),例如ex001023,是2000年10月23日生成的日志,可以直接用记事本打开,如下例所示:
#软件:微软互联网信息服务5.0(微软IIS5.0)
#版本:1.0(版本1.0)
#日期:20001023 0315(服务开始日期)
# FIElds:time CIP cs method csuristem scstatus
015 127.0.0.1 [1]用户管理员331(IP地址为127.0.0.1,用户名为管理员尝试登录)
018 127.0.0.1 [1]通过–530(登录失败)
02: 04 127.0.0.1 [1]用户nt 331(IP地址为127.0.0.1、用户名为NT的用户尝试登录)
02: 06 127.0.0.1 [1]通过–530(登录失败)
02: 09 127.0.0.1 [1]用户cyz 331(IP地址为127.0.0.1,用户名为cyz的用户尝试登录)
022 127.0.0.1 [1]通过–530(登录失败)
0322 127.0.0.1 [1]用户管理员331(IP地址为127.0.0.1,用户名为管理员尝试登录)
024 127.0.0.1 [1]通行证–230(成功登录)
021 127.0.0.1 [1] mkdnt550(无法创建新目录)
025 127.0.0.1 [1]退出–550(退出FTP程序)
从日志中可以看出,IP地址为127.0.0.1的用户一直在尝试登录系统。只有在四次更改用户名和密码后,管理员才能立即知道管理员的入侵时间、IP地址和检测到的用户名。比如入侵者最后是用管理员用户名进入的,就要考虑修改这个用户名的密码,或者重命名管理员用户名。
WWW日志:
WWW服务和FTP服务一样,在% systemroot % \ system32 \ log files \ w3svc 1目录下生成日志。默认值是每天一个日志文件。下面是一个典型的WWW日志文件。
#软件:微软互联网信息服务5.0
#版本:1.0
#日期:20001023 03:091
# Fields:date time CIP cs username sip sport cs method csuri stem csuri query scstatus cs(user agent)
2000 10 23 03:091 192 . 168 . 1 . 26 192 . 168 . 1 . 37 80 GET/IIS start . ASP 200 Mozilla/4.0+(兼容;+MSIE+5.0;+Windows+98;+DigExt)
2000 10 23 03:094 192 . 168 . 1 . 26 192 . 168 . 1 . 37 80 GET/page error . gif 200 Mozilla/4.0+(兼容;+MSIE+5.0;+Windows+98;+DigExt)
通过分析第六行可以看出,2000年10月23日,IP地址为192.168.1.26的用户访问了IP地址为192.168.1.37的机器的80端口,查看了一个页面iisstart.asp,其浏览器是兼容的;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员可以通过安全日志、FTP日志、WWW日志确定入侵者的IP地址和入侵时间。
0条评论