詳述Win2000日志及其刪除方法

字號(hào):

Windows 2000的日志文件通常有應(yīng)用程序日志,安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等,可能會(huì)根據(jù)服務(wù)器所開(kāi)啟的服務(wù)不同。當(dāng)我們用流光探測(cè)時(shí),比如說(shuō)IPC探測(cè),就會(huì)在安全日志里迅速地記下流光探測(cè)時(shí)所用的用戶名、時(shí)間等等,用FTP探測(cè)后,也會(huì)立刻在FTP日志中記下IP、時(shí)間、探測(cè)所用的用戶名和密碼等等。甚至連流影啟動(dòng)時(shí)需要msvcp60.dll 這個(gè)動(dòng)庫(kù)鏈接庫(kù),如果服務(wù)器沒(méi)有這個(gè)文件都會(huì)在日志里記錄下來(lái),這就是為什么不要拿國(guó)內(nèi)主機(jī)探測(cè)的原因了,他們記下你的IP后會(huì)很容易地找到你,只要他想找你!!還有Scheduler日志這也是個(gè)重要的LOG,你應(yīng)該知道經(jīng)常使用的srv.exe就是通過(guò)這個(gè)服務(wù)來(lái)啟動(dòng)的,其記錄著所有由 Scheduler服務(wù)啟動(dòng)的所有行為,如服務(wù)的啟動(dòng)和停止。
    日志文件默認(rèn)位置:
    應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置:%systemroot%\system32\config,默認(rèn)文件大小512KB,管理員都會(huì)改變這個(gè)默認(rèn)大小。
    安全日志文件:%systemroot%\system32\config\SecEvent.EVT
    系統(tǒng)日志文件:%systemroot%\system32\config\SysEvent.EVT
    應(yīng)用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
    Internet信息服務(wù)FTP日志默認(rèn)位置:%systemroot%\system32\logfiles\msftpsvc1\,默認(rèn)每天一個(gè)日志
    Internet信息服務(wù)WWW日志默認(rèn)位置:%systemroot%\system32\logfiles\w3svc1\,默認(rèn)每天一個(gè)日志
    Scheduler服務(wù)日志默認(rèn)位置:%systemroot%\schedlgu.txt
    以上日志在注冊(cè)表里的鍵:
    應(yīng)用程序日志,安全日志,系統(tǒng)日志,DNS服務(wù)器日志,它們這些LOG文件在注冊(cè)表中的:
    HKEY_LOCAL_MacHINE\System\CurrentControlSet\Services\Eventlog
    有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目錄。
    Schedluler服務(wù)日志在注冊(cè)表中
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
    FTP和WWW日志詳解:
    FTP日志和WWW日志默認(rèn)情況,每天生成一個(gè)日志文件,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日產(chǎn)生的日志,用記事本就可直接打開(kāi),如下例:
    #Software: Microsoft Internet Information Services 5.0 ?。ㄎ④汭IS5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20001023 0315 (服務(wù)啟動(dòng)時(shí)間日期)
    #FIElds: time cip csmethod csuristem scstatus
    0315 127.0.0.1 [1]USER administator 331?。↖P地址為127.0.0.1用戶名為administator試圖登錄)
    0318 127.0.0.1 [1]PASS – 530 (登錄失?。?BR>    032:04 127.0.0.1 [1]USER nt 331?。↖P地址為127.0.0.1用戶名為nt的用戶試圖登錄)
    032:06 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?BR>    032:09 127.0.0.1 [1]USER cyz 331?。↖P地址為127.0.0.1用戶名為cyz的用戶試圖登錄)
    0322 127.0.0.1 [1]PASS – 530 (登錄失?。?BR>    0322 127.0.0.1 [1]USER administrator 331?。↖P地址為127.0.0.1用戶名為administrator試圖登錄)
    0324 127.0.0.1 [1]PASS – 230?。ǖ卿洺晒Γ?BR>    0321 127.0.0.1 [1]MKD nt 550?。ㄐ陆夸浭。?BR>    0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)