当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win 2000日志及其删除方法

Windows服务器
Windows 2000系统下关闭端口的方法与思路
Windows2000系统如何找回丢失的管理员密码
如何在Windows 2000上安装配置防火墙
Windows 2000安全配置工具
针对Windows 2000优化Web服务器性能
Windows 2000超级技巧十则
如何修改Windows 2K远程终端默认端口
Windows 2000 SP4八大热点问题
Windows 2000中“NTLDR is missing”故障的解决
Windows 2000操作系统中ADSL的共享办法
Windows 2000开机耗内存40M秘技大公开
Windows 2000 常用系统进程列表
Windows 2000的一些Privilege
Win2000/XP与Win98互访
Windows 2000安装光盘的妙用
Win 2000/XP上网重启解决办法
深入改造Win2000“位置条”
在Win2000下“复活”老网卡
加快Win2000浏览网上邻居的速度
防患于未然 轻松做好Windows 2000安全策略

Windows服务器 中的 Win 2000日志及其删除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 31 ::
收藏到网摘: n/a

    Windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。

  日志文件默认位置:

  应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。

  安全日志文件:%systemroot%\system32\config\SecEvent.EVT
  系统日志文件:%systemroot%\system32\config\SysEvent.EVT
  应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
  Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志
  Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志
  Scheduler服务日志默认位置:%systemroot%\schedlgu.txt

  以上日志在注册表里的键:

  应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

  有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

  Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

FTP和WWW日志详解:

  FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:

#Software: Microsoft Internet Information Services 5.0  (微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)
0318 127.0.0.1 [1]PASS – 530 (登录失败)
032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)
032:06 127.0.0.1 [1]PASS – 530 (登录失败)
032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)
0322 127.0.0.1 [1]PASS – 530 (登录失败)
0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)
0324 127.0.0.1 [1]PASS – 230 (登录成功)
0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)
0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)

  从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。

  WWW日志

  WWW服务同FTP服务一样,产生的日志也是在%systemroot%\System32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20001023 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

  通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

既使你删掉FTP和WWW日志,但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的机器名,并没有你的IP,例如上面几个探测之后,系统日志