windows 日志文件详解
Windows系统中的系统日志查看与分析
Windows系统中的系统日志查看与分析Windows操作系统提供了一个系统日志功能,用于记录操作系统和应用程序的活动和事件。
系统日志是管理员和技术支持人员用来诊断系统问题和监视系统性能的重要工具。
本文将介绍在Windows系统中如何查看和分析系统日志。
一、查看系统日志在Windows系统中,可以通过事件查看器来查看系统日志。
以下是查看系统日志的方法:1. 打开事件查看器在Windows操作系统的开始菜单中,搜索并打开“事件查看器”。
2. 导航至系统日志在事件查看器左侧的导航栏中,展开“Windows日志”,然后选择“系统”。
3. 检查日志系统日志中列出了操作系统的各种事件和错误。
可以根据事件级别(如错误、警告、信息)和日期范围进行筛选和排序。
二、分析系统日志系统日志中的事件提供了有关系统的重要信息和警告。
以下是分析系统日志的一些常见方法:1. 查找错误和警告在系统日志中,查找错误(红色叉号)和警告(黄色感叹号)的事件。
这些事件表示可能存在的问题或潜在的系统错误。
2. 查看事件详细信息双击一个事件,以查看其详细信息。
可以获得有关事件的时间戳、源、类别和描述等信息。
此外,还可以查看事件的特定属性和数据。
3. 使用筛选器事件查看器提供了筛选器功能,可以根据关键字、事件ID和事件级别等条件来筛选事件。
这有助于快速找到与特定问题相关的事件。
4. 导出日志有时,需要将系统日志导出并共享给其他技术支持人员。
可以使用事件查看器的导出功能将日志保存为文件,供后续分析和分享。
三、常见的系统日志事件以下是一些常见的系统日志事件及其含义:1. 硬件故障事件这些事件通常与硬件设备(如磁盘驱动器、内存)有关,表示硬件故障或错误。
2. 系统错误事件这些事件表示操作系统遇到了错误或异常情况。
例如,系统崩溃、蓝屏或无响应等。
3. 应用程序错误事件这些事件与特定应用程序有关,表示应用程序遇到了错误或异常情况。
4. 安全事件安全事件包括登录失败、文件访问权限等与系统安全相关的事件。
Windows日志
Windows⽇志 在计算机领域,⽇志⽂件(logfile)是⼀个记录了发⽣在运⾏中的操作系统或其他软件中的事件的⽂件,或者记录了在⽹络聊天软件的⽤户之间发送的消息。
⽇志记录(Logging)是指保存⽇志的⾏为。
最简单的做法是将⽇志写⼊单个存放⽇志的⽂件。
1、Windows⽇志应⽤程序⽇志安全⽇志系统⽇志Scheduler服务⽇志FTP⽇志WWW⽇志DNS服务器⽇志这些⽇志的种类会根据你的系统开启的服务的不同⽽有所不同,我们在系统上进⾏⼀些操作时,这些⽇志⽂件通常会记录下我们操作的⼀些相关内容,这些内容对系统安全⼯作⼈员相当有⽤。
⽐如说有⼈对系统进⾏了IPC探测,系统就会在安全⽇志⾥迅速地记下探测者探测时所⽤的IP、时间、⽤户名等,⽤FTP探测后,就会在FTP⽇志中记下IP、时间、探测所⽤的⽤户名等。
(百度百科)通过事件查看器查看(简单打开⽅法:windows+R,输⼊:eventvwr回车)通过Powershell(管理员权限)常⽤命令查看所有⽇志:Get-WinEvent查看应⽤程序⽇志:Get-WinEvent -FilterHashtable @{logname="Application";}2、Windows需要了解的⽇志及其作⽤与位置系统⽇志: 存放了Windows操作系统产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运⾏成功的信息,还可了解到系统的某些功能运⾏失败,或变得不稳定的原因。
安全⽇志: 存放了审核事件是否成功的信息。
通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。
应⽤程序⽇志: 存放应⽤程序产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,可以了解到哪些应⽤程序成功运⾏,产⽣了哪些错误或者潜在错误。
程序开发⼈员可以利⽤这些资源来改善应⽤程序。
应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志默认位置:%systemroot%\system32\config(%systemroot%不懂可以查windows变量)安全⽇志⽂件: %systemroot%\system32\config\SecEvent.EVT系统⽇志⽂件: %systemroot%\system32\config\SysEvent.EVT应⽤程序⽇志⽂件: %systemroot%\system32\config\AppEvent.EVTDNS⽇志: %systemroot%\system32\config\DnsEvent.EVTFTP⽇志默认位置: %systemroot%\system32\logfiles\msftpsvc1\WWW⽇志默认位置: %systemroot%\system32\logfiles\w3svc1\(FTP⽇志和WWW服务⽇志,默认每天⼀个⽇志)Scheduler计划任务服务⽇志默认位置:%systemroot%\Tasks\schedlgu.txt(由于系统屏蔽的原因,只能在命令⾏下查看)FTP 和WWW服务⽇志详解:FTP⽇志和WWW⽇志默认情况,每天⽣成⼀个⽇志⽂件,包含了该⽇的⼀切记录,⽂件名通常为 ex (年份)(⽉份)(⽇期)例如: ex180226,(2018年2⽉23⽇产⽣的⽇志)这个由于对IIS并不了解还没有尝试这些位置不⼀定能找到你想要找的⽇志,可以按照下⾯的注册表中的⽇志路径去查找⽇志的位置以上⽇志在注册表⾥的键:应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志,这些log⽂件在注册表中的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\EventlogSchedluler服务⽇志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent3、windows⽇志分析在Windows⽇志中记录了很多的操作事件,为了⽅便管理,每种类型的事件都有⼀个惟⼀的编号,这就是事件ID。
系统日志手册
系统日志手册系统日志是一份记录系统运行情况和故障的文件,它包含各种信息,包括硬件、软件和网络方面的问题。
作为系统管理员,了解和分析日志信息可以帮助您更好地了解系统运行状态并有效地应对故障。
本手册将为您介绍系统日志的基本概念、格式和内容,并提供一些实用的技巧和工具,旨在帮助您更有效地管理和分析系统日志。
一、什么是系统日志系统日志是操作系统和应用程序自动生成的一个文件,用来记录系统的各种事件、错误和警告信息。
日志事件可被分为三个主要类别:信息、警告和错误。
信息事件用于报告系统工作和状态信息,警告事件用于标识可能影响系统性能和可用性的问题,错误事件则指明产生了错误且需要立即检查和纠正。
系统日志可以帮助管理员快速识别并解决各种问题,包括应用程序错误、系统配置错误、硬件问题等等。
可以有效地提高系统的可用性和可维护性。
二、系统日志的格式系统日志的格式因操作系统和应用程序的不同而异,但通常会包含以下元素:1. 时间戳:记录事件发生的日期和时间。
2. 日志级别:记录事件的级别,分为信息、警告和错误三种。
3. 事件源:记录事件发生的应用程序或系统组件。
4. 事件 ID:事件 ID 是事件的唯一标识符,可用于查找和过滤相关事件。
5. 事件描述:详细描述事件的发生和详细信息,提供有用的上下文。
6. 操作员:记录执行操作的用户。
三、系统日志的内容系统日志包含了各种信息,以下是对常用日志消息的描述:1. 安全事件日志安全事件日志是记录审核和安全性方面的事件,包括成功或失败的登录尝试、安全组和用户管理操作等等。
这些日志非常重要,可以帮助您监控是否有恶意攻击、未经授权的访问等安全问题。
2. 应用程序事件日志应用程序事件日志记录应用程序初始化、运行时和关闭等各种事件。
其中包括应用程序崩溃、异常、错误信息等,是分析应用程序问题的关键信息来源。
3. 系统事件日志系统事件日志提供了有关系统资源、设备服务和底层操作系统的事件记录,包括停止和启动服务、硬件或软件故障,系统资源耗尽等。
Windows系统中的系统日志和错误报告分析
Windows系统中的系统日志和错误报告分析在Windows操作系统中,系统日志和错误报告是非常重要的工具,它们可以记录和提供有关系统运行状况的详细信息,帮助用户分析和解决各种问题。
本文将详细介绍Windows系统中的系统日志和错误报告,并解释如何分析它们以便有效地定位和解决故障。
一、系统日志系统日志是一种记录和存储系统事件的功能,它包含了系统启动、关机、硬件故障、驱动程序问题、应用程序错误等多种类型的事件。
通过查看系统日志,用户可以及时发现并解决潜在的问题,提高系统的稳定性和可靠性。
Windows系统中的系统日志分为三类:应用程序日志、安全日志和系统日志。
应用程序日志存储与应用程序相关的事件和错误信息,安全日志用于记录安全相关的事件,而系统日志则包含与操作系统本身有关的事件和错误。
要查看系统日志,用户可以按下Win键+R键,打开运行对话框,输入eventvwr.msc命令,然后在事件查看器中选择相应的日志类型。
通过筛选和查找功能,用户可以根据日志的事件ID、级别和来源等信息找到特定的日志记录。
二、错误报告错误报告是一种Windows系统自动生成的记录故障信息的工具,它可以收集有关应用程序和系统崩溃的详细数据,并发送给Microsoft进行分析和提供解决方案。
错误报告能够帮助用户追踪和解决应用程序或系统崩溃的原因。
当应用程序或系统崩溃时,Windows系统会自动弹出错误报告对话框,用户可以选择发送错误报告给Microsoft或不发送。
如果用户选择发送错误报告,相关的错误信息将被记录并匿名上传,用于改进Windows系统的稳定性和性能。
用户也可以主动查看错误报告,方法是打开控制面板并选择“问题报告和解决”选项。
在问题报告和解决窗口中,用户可以查看已发送的错误报告以及与之相关的解决方案。
三、系统日志和错误报告的分析系统日志和错误报告的分析是解决Windows系统问题的重要步骤。
通过仔细分析日志和错误报告,用户可以找到问题的源头,并采取相应的措施进行修复或优化。
Windows事件日志详解--登陆类型[精品]
![Windows事件日志详解--登陆类型[精品]](https://img.taocdn.com/s3/m/812486b1f424ccbff121dd36a32d7375a417c605.png)
Windows事件日志详解--登陆类型windows 安全日志时,经常发现登录类型的值不同。
有2,3,5,8等。
最常见的类型是2 (交互式)和3 (网络)。
下面详细列出了可能的登录类型值登录类型2:交互式登录(Interactive)这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
登录类型3:网络(Network)当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。
另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
成功的网络登录:用户名:域:登录ID: (0x2,0xFC38EC05)登录类型: 3登录过程: NtLmSsp身份验证数据包: NTLM工作站名: 098B11CAF05E4A0登录GUID: -调用方用户名: -调用方域: -调用方登录ID: -调用方进程ID: -传递服务: -源网络地址: 192.168.197.35源端口: 0调用方进程名称: %16登录类型4:批处理(Batch)当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service)与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
电脑系统日志的查看与分析
电脑系统日志的查看与分析在我们日常使用电脑的过程中,电脑系统会默默地记录下各种操作和事件,这些记录被称为系统日志。
系统日志就像是电脑的“日记”,它详细地记载了电脑运行的点点滴滴。
通过查看和分析系统日志,我们可以了解电脑的运行状况、发现潜在的问题,并采取相应的措施来解决它们。
接下来,让我们一起深入了解电脑系统日志的查看与分析。
一、什么是电脑系统日志电脑系统日志是一个记录系统活动和事件的文件或数据库。
它包含了关于操作系统、应用程序、硬件设备以及用户操作等方面的信息。
系统日志的类型多种多样,常见的有系统日志、应用程序日志、安全日志等。
系统日志通常记录了系统的启动和关闭时间、系统错误和警告信息、硬件设备的连接和断开情况等。
应用程序日志则记录了特定应用程序的运行情况,如软件的安装、更新、错误和异常等。
安全日志主要关注与系统安全相关的事件,如用户登录和注销、权限更改、文件访问等。
二、为什么要查看和分析系统日志1、故障排查当电脑出现故障或异常时,系统日志可以提供重要的线索。
例如,如果电脑频繁死机或蓝屏,通过查看系统日志中的错误代码和相关信息,我们可以初步判断问题的所在,是硬件故障、驱动程序问题还是系统文件损坏等。
2、安全监控系统日志可以帮助我们监测是否有未经授权的访问、恶意软件的活动或其他安全威胁。
通过分析安全日志中的登录记录和权限更改信息,我们可以及时发现异常情况并采取措施加以防范。
3、性能优化了解系统的资源使用情况和性能瓶颈对于优化电脑性能至关重要。
系统日志可以提供有关 CPU 使用率、内存占用、磁盘 I/O 等方面的信息,帮助我们找出性能不佳的原因,并进行相应的调整和优化。
4、合规性要求在一些企业和组织中,出于合规性的要求,需要对电脑系统的活动进行记录和审计。
系统日志可以作为证据,证明系统的操作符合相关的法规和政策。
三、如何查看电脑系统日志不同的操作系统查看系统日志的方法略有不同。
以下是常见操作系统的查看方法:1、 Windows 系统在 Windows 系统中,我们可以通过以下步骤查看系统日志:(1)按下“Win +R”组合键,打开“运行”对话框,输入“eventvwrmsc”并回车。
windows系统日志分析
2. 设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
二、Windows日志实例分析
在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。
1. 查看正常开关机记录
在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。
Windows事件日志简要解析
Windows事件日志简要解析简介:Windows系统内置三个核心日志文件:System、Security、Application,默认大小均为20480kB也就是20MB,记录数据超过20MB时会覆盖过期的日志记录;其他的应用程序以及服务日志默认大小均为1MB,超过这个大小一样的处理方法。
日志类型:事件类型注释信息(Information)指应用程序、驱动程序、或服务的成功操作事件警告(Warning)警告事件不是直接的、主要的,但是会导致将来问题的发生错误(Error)指用户应该知晓的重要问题成功审核(Success Audit)主要指安全性日志,记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件失败审核(FailureAudit)失败的审核安全登录尝试事件日志文件类型:类别类型描述文件名Windows 日志系统包含系统进程,设备磁盘活动等。
事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。
System.evtxWindows 日志安全包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。
Security.evtxWindows 日志应用程序包含操作系统安装的应用程序软件相关的事件。
事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。
Application.evtx应用程序及服务日志Microsoft Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无详见日志存储目录对应文件类别类型描述文件名线网络、有线网路、设备安装等相关日志。
应用程序及服务日志MicrosoftOfficeAlters微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以WINDOWS2000为例!Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等,可能会根据服务器所开启的服务不同。
当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。
甚至饔捌舳毙枰猰svcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。
日志文件默认位置:应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVTInternet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt以上日志在注册表里的键:应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog有的管理员很可能将这些日志重定位。
其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgentFTP和WWW日志详解:FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:#Software: Microsoft Internet Information Services 5.0 (微软IIS5.0)#Version: 1.0 (版本1.0)#Date: 20001023 0315 (服务启动时间日期)#Fields: time cip csmethod csuristem scstatus0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)0318 127.0.0.1 [1]PASS – 530 (登录失败)032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)032:06 127.0.0.1 [1]PASS – 530 (登录失败)032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)0322 127.0.0.1 [1]PASS – 530 (登录失败)0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)0324 127.0.0.1 [1]PASS – 230 (登录成功)0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。
WWW日志WWW服务同FTP服务一样,产生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件#Software: Microsoft Internet Information Services 5.0#Version: 1.0#Date: 20001023 03:091#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。
既使你删掉FTP和WWW日志,但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的机器名,并没有你的IP,例如上面几个探测之后,系统日志将会产生下面的记录:一眼就能看出2000年10月23日,16点17分,系统因为某些事件出现警告,双击头一个,打开它的属性:属性里记录了出现警告的原因,是因为有人试图用administator用户名登录,出现一个错误,来源是FTP服务。
同时安全记录里写将同时记下:(Ekin:此图不是此次示例的安全日志)在上图中可以看到两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。
接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10月18日,时间为1002,这就需要重点观察。
双点第一个失败审核事件的,即得到此事件的详细描述,如下图12所示:分析上图,我们可以得知有个CYZ的工作站,用administator用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误)未能成功。
另外还有DNS服务器日志,不太重要,就此略过(其实是我没有看过它)知道了Windows2000日志的详细情况,下面就要学会怎样删除这些日志:通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及Scedlgu 日志都是可以轻易地删除的。
首先要取得Admnistrator密码或Administrators组成员之一,然后Telnet到远程主机,先来试着删除FTP日志:D:\SERVER>del schedlgu.txtD:\SERVER\SchedLgU.Txt进程无法访问文件,因为另一个程序正在使用此文件。
说过了,后台有服务保护,先把服务停掉!D:\SERVER>net stop "task scheduler"下面的服务依赖于Task Scheduler 服务。
停止Task Scheduler 服务也会停止这些服务。
Remote Storage Engine是否继续此操作? (Y/N) [N]: yRemote Storage Engine 服务正在停止....Remote Storage Engine 服务已成功停止。
Task Scheduler 服务正在停止.Task Scheduler 服务已成功停止。
OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。
再来试着删一下!D:\SERVER>del schedlgu.txtD:\SERVER>没有反应?成功了!下一个是FTP日志和WWW日志,原理都是一样,先停掉相关服务,然后再删日志!D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.logD:\SERVER\sys tem32\LogFiles\MSFTPSVC1>以上操作成功删除FTP日志!再来WWW日志!D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.logD:\SERVER\sys tem32\LogFiles\W3SVC1>OK!恭喜,现在简单的日志都已成功删除。
下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它!D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog这项服务无法接受请求的"暂停" 或"停止" 操作。
KAO,I 服了U,没办法,它是关键服务。
如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,点击它如下图所示:输入远程计算机的IP,然后点支烟,等上数十分钟,忍受象死机的折磨,然后打开下图:选择远程计算机的安全性日志,右键选择它的属性:点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、WWW还有Schedlgu日志,就是系统日志和安全日志属于Windows2000的严密守护,只能用本地的事件查看器来打开它,因为在图形界面下,加之网速又慢,如果你银子多,时间闲,还是可以清除它的。