《服务器日志清理及IIS日志的清理》由会员分享,可在线阅读,更多相关《服务器日志清理及IIS日志的清理(5页珍藏版)》请在金锄头文库上搜索。
1、服务器日志清理及 IIS 日志的清理首先介绍下日志的默认位置,只有我们知道了我们在服务器上留下的痕迹,才能擦除我们在计算机中留下的痕迹,而日志就是我们留下痕迹的位置所在.安全日志文件:C:WINDOWSsystem32configSecEvent.Evt系统日志文件:C:WINDOWSsystem32configSysEvent.Evt应用程序日志文件:C:WINDOWSsystem32configAppEvent.EvtFTP 日志默认位置:C:WINDOWSsystem32LogfilesMSFTPSVC1WWW 日志默认位置:C:WINDOWSsystem32LogfilesW3SVC1
2、然而这些日志在系统正常运行的时候是不能被删除的.FTP和WWW服务可以先把这2个服务停止掉,然后再删除日志文件,但是安全,系统和应用程序的日志守护服务Event Log是没有办法停止的.那么有需要怎么清理呢?因为手工这一步有这种困难不好进行.所以我们可以利用工具.这里我给大家讲的用到的工具是CL.这个工具可以清理IIS日志.FTP日志计划任务日志.系统日志清理服务日志只需要执行CL 工具的清理命令清理服务日志:cl -logfiles 127.0.0.1 (程序自动先把FTP.WWW.Task Scheduler服务停止再删除日志,然后再启动三个服务.)清理系统日志:cl -enentlog
3、all此工具支持远程清理,当然前提必须是建立了管理员权限的IPC管理连接.连接命令:net use ipipc$密码/user:用户名然后用CL -LogFile IP对主机进行远程清理了.对于 IIS 日志的清理目前对于网站的入侵方式主要是注入,然后再提权拿下服务器,这样主要的日志痕迹都留在了 IIS日志里,所以只需要把我们在IIS日志中的IP地址清楚掉就可以了.这样清理的话更不会让对方管理员起疑心那么真的要我们把IIS服务停掉,然后用记事本打开日志文件一点一点改吗?当然不是了.只需要使用CleanIISLog工具就可以轻松搞定了.CleanIISLog工具的用法:在CMD中执行CleanI
4、ISLog . IP地址就可以清楚所有IIS日志中有关IP的连接记录了,保留其它IP记录当清楚成功后,CleanIISLog会在系统日志中将本身的运行记录清楚.如果IIS的日志文件不是默认的话,可以执行CleanIISLog IIS日志路径 服务器IP地址 来指定IIS日志的路径.注意:此工具只能在本地运行,而且必须具有 Administrators 权限.windows 系统日志分析一、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文 件清洗一空的情况。1 修改日志文件存放目录Windows日志文件默认路径是“systemroot
5、%system32config”,我们可以通过修改注册表来 改变它的存储目录,来增强对日志的保护。点击“开始一运行”,在对话框中输入“ Regedit”,回车后弹出注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的 Application、 Security、 System 几个子项分别对应应用程序日志、安全日志、系统日志。笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项(如图), 在 右 栏 中 找 到 File 键 , 其 键 值 为 应 用
6、程 序 日 志 文 件 的 路 径 “SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在 D 盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日 志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作, 或建立一系列深目录以存放新日志文件,如D:01020304050607,起名的原则就是要“越 不起眼,越好”。2 设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限, 防止这种事情发生,前提是Wi
7、ndows系统要采用NTFS文件系统格式。右键点击 D 盘的 CCE 目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来 自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号, 只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中, 赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除 Windows 日志时,就会弹出错误对话框。二、Windows日志实例分析在 Windows 日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都 赋予了一个惟一的编号,这就是事件 ID
8、。1 查看正常开关机记录在 Windows 系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这 是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。这里我们要介绍两个事 件ID “6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事 件ID号为6005的事件,就说明在这天正常启动了 Windows系统。6006表示事件日志服务 已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这 天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。2 查看 DHCP 配置警告信息在规模较大的网络
9、中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无 法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志 中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法 从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。详述 Windows 2000系统日志及删除方法windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如 说IPC探测,就会在安全日志里迅速地记下流光探测时所
10、用的用户名、时间等等,用FTP探 测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启 动时需要 msvcp60.dll 这个动库链接库,如果服务器没有这个文件都会在日志里记录下来, 这就是为什么不要拿国内主机探测的原因了,他们记下你的 IP 后会很容易地找到你,只要 他想找你!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是 通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和 停止。日志文件默认位置:应用程序日志、安全日志、系统日志、DNS日志默认位置:systemroot%syste
11、m32config, 默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件: %systemroot%system32configSecEvent.EVT 系统日志文件: %systemroot%system32configSysEvent.EVT 应用程序日志文件: %systemroot%system32configAppEvent.EVTInternet 信息服务 FTP 日志默认位置:systemroot%system32logfilesmsftpsvc1 默认每天一个日志Internet 信息服务 WWW 日志默认位置:systemroot%system32logfile
12、sw3svc1 默认每天 一个日志Scheduler 服务日志默认位置: %systemroot%schedlgu.txt以上日志在注册表里的键:应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog有的管理员很可能将这些日志重定位。其中 EVENTLOG 下面有很多的子表,里面可查到以上 日志的定位目录。Schedluler 服务日志在注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgentFTP
13、 和 WWW 日志详解:FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名 通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事 本就可直接打开,如下例:#Software: Microsoft Internet Information Services 5.0(微软 IIS5.0)#Version: 1.0 (版本 1.0)#Date: 20001023 0315 (服务启动时间日期)#Fields: time cip csmethod csuristem scstatus0315 127.0.0.1 1USE
14、R administator 331 (IP地址为 127.0.0.1 用户名为 administator试图登录) 0318 127.0.0.1 1PASS - 530 (登录失败)032:04 127.0.0.1 1USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)032:06 127.0.0.1 1PASS - 530 (登录失败)032:09 127.0.0.1 1USER cyz 331 (IP 地址为 127.0.0.1 用户名为 cyz 的用户试图登录)0322 127.0.0.1 1PASS - 530 (登录失败)0322 127.0.0.1
15、1USER administrator 331 (IP 地址为 127.0.0.1 用户名为 administrator 试图登 录)0324 127.0.0.1 1PASS - 230 (登录成功)0321 127.0.0.1 1MKD nt 550 (新建目录失败)0325 127.0.0.1 1QUIT - 550(退出 FTP 程序)从日志里就能看出 IP 地址为 127.0.0.1 的用户一直试图登录系统,换了四次用户名和密码才 成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者 最终是用 administrator 用户名进入的,那么就要考虑更换此用户名的密码,或者重命名 administrator 用户。WWW 日志:WWW服务同FTP服务一样,产生的日志也是在systemroot%System32LogFilesW3SVC1目 录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件#Software: Microsoft Internet Information Services 5.0#Version: 1.0#Date: 20001023 03:091#Fields: date time cip csusernam
