《详述windows 2000 系统日志及删除方法》由会员分享,可在线阅读,更多相关《详述windows 2000 系统日志及删除方法(5页珍藏版)》请在金锄头文库上搜索。
1、Windows 2000 的日志文件通常有应用程序日志,安全日志、系统日志、DNS 服务器日志、 FTP 日志、WWW 日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比 如说 IPC 探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用 FTP 探测后,也会立刻在 FTP 日志中记下 IP、时间、探测所用的用户名和密码等等。甚至连流 影启动时需要 msvcp60.dll 这个动库链接库,如果服务器没有这个文件都会在日志里记录下 来,这就是为什么不要拿国内主机探测的原因了,他们记下你的 IP 后会很容易地找到你, 只要他想找你!还有 Scheduler 日志这也
2、是个重要的 LOG,你应该知道经常使用的 srv.exe 就是通过这个服务来启动的,其记录着所有由 Scheduler 服务启动的所有行为,如 服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS 日志默认位置: %systemroot%system32config, 默认文件大小 512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%system32configSecEvent.EVT 系统日志文件:%systemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%system32co
3、nfigAppEvent.EVT Internet 信息服务 FTP 日志默认位置: %systemroot%system32logfilesmsftpsvc1,默认每天一个日志 Internet 信息服务 WWW 日志默认位置:%systemroot%system32logfilesw3svc1, 默认每天一个日志 Scheduler 服务日志默认位置:%systemroot%schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS 服务器日志,它们这些 LOG 文件在注册表中 的: HKEY_LOCAL_MACHINESystemCurrentContr
4、olSetServicesEventlog 有的管理员很可能将这些日志重定位。其中 EVENTLOG 下面有很多的子表,里面可查到 以上日志的定位目录。 Schedluler 服务日志在注册表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent FTP 和 WWW 日志详解: FTP 日志和 WWW 日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件 名通常为 ex(年份)(月份)(日期),例如 ex001023,就是 2000 年 10 月 23 日产生的日志,用 记事本就可直接打开,如下例: #Software: Micros
5、oft Internet Information Services 5.0 (微软 IIS5.0) #Version: 1.0 (版本 1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 1USER administator 331 (IP 地址为 127.0.0.1 用户名为 administator 试图登录) 0318 127.0.0.1 1PASS 530 (登录失败) 032:04 127.0.0.1 1USER nt 331 (IP 地址为
6、 127.0.0.1 用户名为 nt 的用户试图登 录) 032:06 127.0.0.1 1PASS 530 (登录失败) 032:09 127.0.0.1 1USER cyz 331 (IP 地址为 127.0.0.1 用户名为 cyz 的用户试图 登录) 0322 127.0.0.1 1PASS 530 (登录失败) 0322 127.0.0.1 1USER administrator 331 (IP 地址为 127.0.0.1 用户名为 administrator 试图登录) 0324 127.0.0.1 1PASS 230 (登录成功) 0321 127.0.0.1 1MKD nt
7、550 (新建目录失败) 0325 127.0.0.1 1QUIT 550 (退出 FTP 程序) 从日志里就能看出 IP 地址为 127.0.0.1 的用户一直试图登录系统,换了四次用户名和 密码才成功,管理员立即就可以得知管理员的入侵时间、IP 地址以及探测的用户名,如上 例入侵者最终是用 administrator 用户名进入的,那么就要考虑更换此用户名的密码,或者 重命名 administrator 用户。 WWW 日志: WWW 服务同 FTP 服务一样,产生的日志也是在% systemroot%System32LogFilesW3SVC1 目录下,默认是每天一个日志文件,下面是一个
8、 典型的 WWW 日志文件 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+
9、5.0;+Windows+98;+DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行,可以看出 2000 年 10 月 23 日,IP 地址为 192.168.1.26 的用户通过 访问 IP 地址为 192.168.1.37 机器的 80 端口,查看了一个页面 iisstart.asp,这位用户的 浏览器为 compatible;+MSIE+5.0;+Windows+98
10、+DigExt,有经验的管理员就可通过安全日志、 FTP 日志和 WWW 日志来确定入侵者的 IP 地址以及入侵时间。 既使你删掉 FTP 和 WWW 日志,但是还是会在系统日志和安全日志里记录下来,但是较好 的是只显示了你的机器名,并没有你的 IP,例如上面几个探测之后,系统日志将会产生下 面的记录:一眼就能看出 2000 年 10 月 23 日,16 点 17 分,系统因为某些事件出现警告, 双击头一个,打开它的属性:属性里记录了出现警告的原因,是因为有人试图用 administator 用户名登录,出现一 个错误,来源是 FTP 服务。同时安全记录里写将同时记下,我们可以看到两种图标:钥
11、匙(表 示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核, 事件类型是帐户登录和登录、注销失败,日期为 2000 年 10 月 18 日,时间为 1002,这就需 要重点观察。 双点第一个失败审核事件的,即得到此事件的详细描述,我们可以得知有个 CYZ 的工作 站,用 administator 用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误) 未能成功。 另外还有 DNS 服务器日志,不太重要,就此略过(其实是我没有看过它) 知道了 Windows2000 日志的详细情况,下面就要学会怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保
12、护,除了系统日志、安全日志、应用 程序日志等等,它们的服务是 Windos2000 的关键进程,而且与注册表文件在一块,当 Windows2000 启动后,启动服务来保护这些文件,所以很难删除,而 FTP 日志和 WWW 日志以 及 Scedlgu 日志都是可以轻易地删除的。 首先要取得 Admnistrator 密码或 Administrators 组成员之一,然后 Telnet 到远程主 机,先来试着删除 FTP 日志: D:SERVERdel schedlgu.txt D:SERVERSchedLgU.Txt 进程无法访问文件,因为另一个程序正在使用此文件。 说过了,后台有服务保护,先把
13、服务停掉! D:SERVERnet stop “task scheduler“ 下面的服务依赖于 Task Scheduler 服务。 停止 Task Scheduler 服务也会停止这些服务。 Remote Storage Engine 是否继续此操作? (Y/N) N: y Remote Storage Engine 服务正在停止. Remote Storage Engine 服务已成功停止。 Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。 OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下! D:SERVERdel sch
14、edlgu.txt D:SERVER 没有反应?成功了!下一个是 FTP 日志和 WWW 日志,原理都是一样,先停掉相关服务, 然后再删日志! D:SERVERsystem32LogFilesMSFTPSVC1del ex*.log D:SERVERsystem32LogFilesMSFTPSVC1 以上操作成功删除 FTP 日志!再来 WWW 日志! D:SERVERsystem32LogFilesW3SVC1del ex*.log D:SERVERsystem32LogFilesW3SVC1 OK!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守 护这些日志的服务是
15、 Event Log,试着停掉它! D:SERVERsystem32LogFilesW3SVC1net stop eventlog 这项服务无法接受请求的 “暂停“ 或 “停止“ 操作。 没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系 统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管 理工具”中的“事件查看器”(98 没有,知道用 Win2k 的好处了吧),在菜单的“操作”项 有一个名为“连接到另一台计算机”的菜单,输入远程计算机的 IP,然后点支烟,等上数 十分钟,忍受象死机的折磨,选择远程计算机的安全性日志,右键选择它的属性:
16、点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统 日志! 前在不借助第三工具的情况下,能很快,很顺利地清除 FTP、WWW 还有 Schedlgu 日志, 就是系统日志和安全日志属于 Windows2000 的严密守护,只能用本地的事件查看器来打开它, 因为在图形界面下,加之网速又慢,如果你银子多,时间闲,还是可以清除它的。综上所述, 介绍了 Windows2000 的日志文件以及删除方法,但是你必须是 Administrator,注意必须作 为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机,也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。 至此,Windows2000 安全知识基础讲座完毕,还有几句话要讲,大家也看出来了,虽然 F
