詳述Windows2000系統日誌及刪除方法(轉)

詳述Windows2000系統日誌及刪除方法(轉)[@more@]

　　Windows 2000的日誌檔案通常有應用程式日誌，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等，可能會根據伺服器所開啟的服務不同。當我們用流光探測時，比如說IPC探測，就會在安全日誌裡迅速地記下流光探測時所用的使用者名稱、時間等等，用FTP探測後，也會立刻在FTP日誌中記下IP、時間、探測所用的使用者名稱和密碼等等。甚至連流影啟動時需要msvcp60.dll這個動庫連結庫，如果伺服器沒有這個檔案都會在日誌裡記錄下來，這就是為什麼不要拿國內主機探測的原因了，他們記下你的IP後會很容易地找到你，只要他想找你！！還有Scheduler日誌這也是個重要的LOG，你應該知道經常使用的srv.exe就是透過這個服務來啟動的，其記錄著所有由Scheduler服務啟動的所有行為，如服務的啟動和停止。

　　

　　日誌檔案預設位置：

　　

　　應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置：%systemroot%system32config，

　　預設檔案大小512KB，管理員都會改變這個預設大小。

　　

　　安全日誌檔案：%systemroot%system32configSecEvent.EVT

　　

　　系統日誌檔案：%systemroot%system32configSysEvent.EVT

　　

　　應用程式日誌檔案：%systemroot%system32configAppEvent.EVT

　　

　　Internet資訊服務FTP日誌預設位置：%systemroot%system32logfilesmsftpsvc1，預設每天一個日誌

　　

　　Internet資訊服務WWW日誌預設位置：%systemroot%system32logfilesw3svc1，預設每天一個日誌

　　

　　Scheduler服務日誌預設位置：%systemroot%schedlgu.txt

　　

　　以上日誌在登錄檔裡的鍵：

　　

　　應用程式日誌，安全日誌，系統日誌，DNS伺服器日誌，它們這些LOG檔案在登錄檔中的：

　　

　　HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog

　　

　　有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表，裡面可查到以上日誌的定位目錄。

　　

　　Schedluler服務日誌在登錄檔中

　　

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

　　

　　FTP和WWW日誌詳解：

　　

　　FTP日誌和WWW日誌預設情況，每天生成一個日誌檔案，包含了該日的一切記錄，檔名通常為ex(年份)(月份)(日期)，例如ex001023，就是2000年10月23日產生的日誌，用記事本就可直接開啟，如下例：

　　

　　#Software: Microsoft Internet Information Services 5.0　　(微軟IIS5.0)

　　

　　#Version: 1.0 (版本1.0)

　　

　　#Date: 20001023 0315 (服務啟動時間日期)

　　

　　#Fields: time cip csmethod csuristem scstatus

　　

　　0315 127.0.0.1 [1]USER administator 331　(IP地址為127.0.0.1使用者名稱為administator試圖登入)

　　

　　0318 127.0.0.1 [1]PASS ? 530　(登入失敗)

　　

　　032:04 127.0.0.1 [1]USER nt 331　(IP地址為127.0.0.1使用者名稱為nt的使用者試圖登入)

　　

　　032:06 127.0.0.1 [1]PASS ? 530　(登入失敗)

　　

　　032:09 127.0.0.1 [1]USER cyz 331　(IP地址為127.0.0.1使用者名稱為cyz的使用者試圖登入)

　　

　　0322 127.0.0.1 [1]PASS ? 530　(登入失敗)

　　

　　0322 127.0.0.1 [1]USER administrator 331　(IP地址為127.0.0.1使用者名稱為administrator試圖登入)

　　

　　0324 127.0.0.1 [1]PASS ? 230　(登入成功)

　　

　　0321 127.0.0.1 [1]MKD nt 550　(新建目錄失敗)

　　

　　0325 127.0.0.1 [1]QUIT ? 550　(退出FTP程式)

　　

　　從日誌裡就能看出IP地址為127.0.0.1的使用者一直試圖登入系統，換了四次使用者名稱和密碼才成功，管理員立即就可以得知管理員的入侵時間、IP地址以及探測的使用者名稱，如上例入侵者最終是用administrator使用者名稱進入的，那麼就要考慮更換此使用者名稱的密碼，或者重新命名administrator使用者。

　　

　　WWW日誌：

　　

　　WWW服務同FTP服務一樣，產生的日誌也是在%systemroot%System32LogFilesW3SVC1目錄下，預設是每天一個日誌檔案，下面是一個典型的WWW日誌檔案

　　

　　#Software: Microsoft Internet Information Services 5.0

　　

　　#Version: 1.0

　　

　　#Date: 20001023 03:091

　　

　　#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

　　

　　20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

　　

　　20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

　　

　　透過分析第六行，可以看出2000年10月23日，IP地址為192.168.1.26的使用者透過訪問IP地址為192.168.1.37機器的80埠，檢視了一個頁面iisstart.asp,這位使用者的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經驗的管理員就可透過安全日誌、FTP日誌和WWW日誌來確定入侵者的IP地址以及入侵時間。

　　

　　既使你刪掉FTP和WWW日誌，但是還是會在系統日誌和安全日誌裡記錄下來，但是較好的是隻顯示了你的機器名，並沒有你的IP，例如上面幾個探測之後，系統日誌將會產生下面的記錄：一眼就能看出2000年10月23日，16點17分，系統因為某些事件出現警告，雙擊頭一個，開啟它的屬性：

　　

　　屬性裡記錄了出現警告的原因，是因為有人試圖用administator使用者名稱登入，出現一個錯誤，來源是FTP服務。同時安全記錄裡寫將同時記下,我們可以看到兩種圖示：鑰匙(表示成功)和鎖(表示當使用者在做什麼時被系統停止)。接連四個鎖圖示，表示四次失敗稽核，事件型別是帳戶登入和登入、登出失敗，日期為2000年10月18日，時間為1002，這就需要重點觀察。

　　

　　雙點第一個失敗稽核事件的，即得到此事件的詳細描述，我們可以得知有個CYZ的工作站，用administator使用者名稱登入本機，但是因為使用者名稱未知或密碼錯誤(實際為密碼錯誤)未能成功。

　　

　　另外還有DNS伺服器日誌，不太重要，就此略過(其實是我沒有看過它)

　　

　　知道了Windows2000日誌的詳細情況，下面就要學會怎樣刪除這些日誌：

　　

　　透過上面，得知日誌檔案通常有某項服務在後臺保護，除了系統日誌、安全日誌、應用程式日誌等等，它們的服務是Windos2000的關鍵程式，而且與登錄檔檔案在一塊，當Windows2000啟動後，啟動服務來保護這些檔案，所以很難刪除，而FTP日誌和WWW日誌以及Scedlgu日誌都是可以輕易地刪除的。

　　

　　首先要取得Admnistrator密碼或Administrators組成員之一，然後Telnet到遠端主機，先來試著刪除FTP日誌：

　　

　　D:SERVER>del schedlgu.txt

　　

　　D:SERVERSchedLgU.Txt

　　

　　程式無法訪問檔案，因為另一個程式正在使用此檔案。

　　

　　說過了，後臺有服務保護，先把服務停掉！

　　

　　D:SERVER>net stop "task scheduler"

　　

　　下面的服務依賴於 Task Scheduler 服務。

　　

　　停止 Task Scheduler 服務也會停止這些服務。

　　

　　Remote Storage Engine

　　

　　是否繼續此操作? (Y/N) [N]: y

　　

　　Remote Storage Engine 服務正在停止....

　　

　　Remote Storage Engine 服務已成功停止。

　　

　　Task Scheduler 服務正在停止.

　　

　　Task Scheduler 服務已成功停止。

　　

　　OK，它的服務停掉了，同時也停掉了與它有依賴關係的服務。再來試著刪一下！

　　

　　D:SERVER>del schedlgu.txt

　　

　　D:SERVER>

　　

　　沒有反應？成功了！下一個是FTP日誌和WWW日誌，原理都是一樣，先停掉相關服務，然後再刪日誌！

　　

　　D:SERVERsystem32LogFilesMSFTPSVC1>del ex*.log

　　

　　D:SERVERsystem32LogFilesMSFTPSVC1>

　　

　　以上操作成功刪除FTP日誌！再來WWW日誌！

　　

　　D:SERVERsystem32LogFilesW3SVC1>del ex*.log

　　

　　D:SERVERsystem32LogFilesW3SVC1>

　　

　　OK！恭喜，現在簡單的日誌都已成功刪除。下面就是很難的安全日誌和系統日誌了，守護這些日誌的服務是Event Log，試著停掉它！

　　

　　D:SERVERsystem32LogFilesW3SVC1>net stop eventlog

　　

　　這項服務無法接受請求的 "暫停" 或 "停止" 操作。

　　

　　沒辦法，它是關鍵服務。如果不用第三方工具，在命令列上根本沒有刪除安全日誌和系統日誌的可能！所以還是得用雖然簡單但是速度慢得當機的辦法：開啟“控制皮膚”的“管理工具”中的“事件檢視器”(98沒有，知道用Win2k的好處了吧)，在選單的“操作”項有一個名為“連線到另一臺計算機”的選單，輸入遠端計算機的IP，然後點支菸，等上數十分鐘，忍受象當機的折磨，選擇遠端計算機的安全性日誌，右鍵選擇它的屬性：

　　

　　點選屬性裡的“清除日誌”按鈕，OK！安全日誌清除完畢！同樣的忍受痛苦去清除系統日誌！

　　

　　前在不借助第三工具的情況下，能很快，很順利地清除FTP、WWW還有Schedlgu日誌，就是系統日誌和安全日誌屬於Windows2000的嚴密守護，只能用本地的事件檢視器來開啟它，因為在圖形介面下，加之網速又慢，如果你銀子多，時間閒，還是可以清除它的。綜上所述，介紹了Windows2000的日誌檔案以及刪除方法，但是你必須是Administrator，注意必須作為管理員或管理組的成員登入才能開啟安全日誌記錄。該過程適用於 Windows 2000 Professional 計算機，也適用於作為獨立伺服器或成員伺服器