| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

Win2000/NT

数据库
邮件服务
Linux
Win9x/ME
Win2000/NT
WinXP/Server

本类阅读TOP10

·Windows 2000不能启动时
·Windows 2003 激活和优化大全
·Windows 2000 系统服务设置(建议配置)
·Windows2000系统如何找回丢失的管理员密码
·Windows 2000 设置与操作技巧之性能提高篇
·解读多重启动引导文件——BOOT.INI
·Windows 2000自带传真软件使用攻略
·Win 2000如何安装配置防火墙
·Windows 2000 的IP路由
·解决 Windows 2000 中的常见 Active Directory 安装问题

站内搜索

Windows 2000日志的描述及删除
   日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。

日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS日志默认位置:
%sys temroot%\sys tem32\config
默认文件大小512KB,管理员都会改变这个默认大小。

安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT

系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT

应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT

Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt

以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent


FTP日志详解:
FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:
#Software: Microsoft Internet Information Services 5.0 (微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)
0318 127.0.0.1 [1]PASS – 530 (登录失败)
032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)
032:06 127.0.0.1 [1]PASS – 530 (登录失败)
032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)
0322 127.0.0.1 [1]PASS – 530 (登录失败)
0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)
0324 127.0.0.1 [1]PASS – 230 (登录成功)
0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)
0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序)

从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。


WWW日志
WWW服务同FTP服务一样,产生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20001023 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。
既使你删掉FTP和WWW日志,但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的机器名,并没有你的IP,例如上面几个探测之后,系统日志将会产生下面的记录:

一眼就能看出2000年10月23日,16点17分,系统因为某些事件出现警告,双击头一个,打开它的属性。属性里记录了出现警告的原因,是因为有人试图用administator用户名登录,出现一个错误,来源是FTP服务。同时安全记录里写将同时记下:

可以看到两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10月18日,时间为1002,这就需要重点观察。
双点第一个失败审核事件的,即得到此事件的详细描述。

分析我们可以得知有个CYZ的工作站,用administator用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误)未能成功。
另外还有DNS服务器日志,不太重要,就此略过。

知道了Windows2000日志的详细情况,下面就要学会怎样删除这些日志:
通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。
首先要取得Admnistrator密码或Administrators组成员之一,然后Telnet到远程主机,先来试着删除FTP日志:
D:\SERVER>del schedlgu.txt
D:\SERVER\SchedLgU.Txt
进程无法访问文件,因为另一个程序正在使用此文件。
说过了,后台有服务保护,先把服务停掉!
D:\SERVER>net stop "task scheduler"
下面的服务依赖于 Task Scheduler 服务。
停止 Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

是否继续此操作? (Y/N) [N]: y
Remote Storage Engine 服务正在停止....
Remote Storage Engine 服务已成功停止。

Task Scheduler 服务正在停止.
Task Scheduler 服务已成功停止。
OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下!
D:\SERVER>del schedlgu.txt
D:\SERVER>
没有反应?成功了!下一个是FTP日志和WWW日志,原理都是一样,先停掉相关服务,然后再删日志!
D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.log

D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>
以上操作成功删除FTP日志!再来WWW日志!
D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.log

D:\SERVER\sys tem32\LogFiles\W3SVC1>
OK!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它!
D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog
这项服务无法接受请求的 "暂停" 或 "停止" 操作。
KAO,I 服了 U,没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单。选择远程计算机的安全性日志,右键选择它的属性: 点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!

目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、WWW还有Schedlgu日志,就是系统日志和安全日志属于Windows2000的严密守护,只能用本地的事件查看器来打开它,因为在图形界面下,加之网速又慢,如果你银子多,时间闲,还是可以清除它的。综上所述,介绍了Windows2000的日志文件以及删除方法,但是你必须是Administrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机,也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。

虽然FTP等等日志可以很快清除,但是系统日志和安全日志却不是那么快、那么顺利地能删除,如果遇到聪明的管理员,将日志文件转移到另一个地方,那更是难上加难,所以奉劝大家,千万不要拿国内的主机做试验,国内的法律很严呀!今天吃饭时,听说有两个人开玩笑,一个人把另外一个人的东西藏起来了,结果那个人一急,报案了,于是藏东西那个人被判四年刑!!法官说法律是不开玩笑的!!!所以大家一定要牢记这点!

钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10月18日,时间为1002,这就需要重点观察。双点第一个失败审核事件的,即得到此事件的详细描述。

知道了Windows2000日志的详细情况,下面就要学会怎样删除这些日志:
通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。
首先要取得Admnistrator密码或Administrators组成员之一,然后Telnet到远程主机,先来试着删除FTP日志:
D:\SERVER>del schedlgu.txt
D:\SERVER\SchedLgU.Txt
进程无法访问文件,因为另一个程序正在使用此文件。
说过了,后台有服务保护,先把服务停掉!
D:\SERVER>net stop "task scheduler"
下面的服务依赖于 Task Scheduler 服务。
停止 Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

是否继续此操作? (Y/N) [N]: y
Remote Storage Engine 服务正在停止....
Remote Storage Engine 服务已成功停止。

Task Scheduler 服务正在停止.
Task Scheduler 服务已成功停止。
OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下!
D:\SERVER>del schedlgu.txt
D:\SERVER>
没有反应?成功了!下一个是FTP日志和WWW日志,原理都是一样,先停掉相关服务,然后再删日志!
D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.log

D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>
以上操作成功删除FTP日志!再来WWW日志!
D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.log

D:\SERVER\sys tem32\LogFiles\W3SVC1>
OK!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它!
D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog
这项服务无法接受请求的 "暂停" 或 "停止" 操作。

它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单。输入远程计算机的IP,然后点支烟,等上数十分钟,忍受象死机的折磨。选择远程计算机的安全性日志,右键选择它的属性:

点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!

目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、WWW还有Schedlgu日志,就是系统日志和安全日志属于Windows2000的严密守护,只能用本地的事件查看器来打开它,因为在图形界面下,加之网速又慢,如果你银子多,时间闲,还是可以清除它的。综上所述,介绍了Windows2000的日志文件以及删除方法,但是你必须是Administrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机,也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。


终端方式登录的日志记录

关于用远程终端服务登录服务器日志究竟会不会被纪录?何种情况下才能纪录日志?做了以下测试。

这里先交待一下:
服务器名:ABUSERVER
客户机名:ABUPC13 客户机的IP:192.168.0.13

登录所用的帐号:Administrator
本地安全策略里面开启:审核登录事件

测试一:
用终端服务的方式登录服务器,并正常注销退出,查看安全审核的日志记录如下:
登录成功:
用户名: Administrator
域: ABUSERVER

登录 ID: (0x0,0x1D0B52)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER

用户注销:
用户名: Administrator
域: ABUSERVER

登录 ID: (0x0,0x1D0B52)
登录类型: 2

很奇怪吧,因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时纪录的工作站名: ABUSERVER (这不是服务器的名字嘛)

测试二:
正常登录上服务器以后,选择断开,临时中断当前会话,然后再次使用客户端连接上服务器,在安全日志里出现了以下记录:
 
会话从 winstation 中断连接:
用户名: administrator
域: ABUSERVER
登录 ID: (0x0,0x1D0B52)
会话名称: Unknown
客户端名: ABUPC13
客户端地址: 192.168.0.13

会话被重新连接到 winstation:
用户名: administrator
域: ABUSERVER
登录 ID: (0x0,0x1BE7BA)
会话名称: RDP-Tcp#7
客户端名: ABUPC13
客户端地址: 192.168.0.13
这次,自己客户机名以及当时的IP都被记录下来了。

测试三:
正常连接服务器,输入错误的密码,再输入到第6次(缺省安全配置情况下)终端服务窗口关闭。

重新连接登录后,检查日志出现以下纪录:

在系统日志里:
来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。

在安全日志里:
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: ABUSERVER
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER

到这里,分析了各种不同环境下登录终端服务器的日志纪录效果。 这样看来,是不是清楚了很多?也许有朋友会奇怪为什么在第一个日志记录中,工作站名也是服务器的名称而不是我用来登录的客户机的名称。 原因是因为在以终端方式登录的时候,系统实际上是以 虚拟桌面、本地登录 的方式进行记录,自然没有对真正 用户的纪录咯。

所以总结如下:
1、当一个用户以终端方式登录服务器的时候,如果正常退出,服务器上的日志中,将不会记录你的IP,机器名。
2、当用户以终端方式登录后又发生了中断,这时候系统才会纪录客户机的IP以及机器名。
3、当密码输入错误导致连接终止时,在系统日志里会留下客户机的机器名信息。

系统在纪录终端方式的客户机IP地址的时候,如果你的客户机处于一个局域网中,通过透明网关的方式访问服务器,在服务器上留下的IP也只是你内网的IP地址,看来,单纯依靠微软的日志纪录,还是难免会有疏漏的。



相关文章
  • Win2000路由的安装与设置实现不同网段互通
  • Win2000请求拨号路由服务详解
  • Win2000/XP与Win98互访
  • Win2000 Advanced Server的用户管理
  • Windows 2003 安全策略的制定
  • Windows 2003 激活和优化大全
  • Windows 2000活动目录--配置篇
  • Windows 2000活动目录详解
  • Windows 2000活动目录--结构篇
  • Windows 2000活动目录--基础篇
  • WINDOWS 2000技术的54个问与答
  • Windows 2000安全检查清单
  • Windows 2000安全事件日志中的事件编号与描述
  • Windows 2000/AD技巧
  • Windows 2000/03域和活动目录
  • Windows 2000 域的备份与恢复
  • Windows 2000 域控制器默认端口的列表
  • Windows 2000 RRAS输入/输出筛选器设置
  • WINDOWS 2000 ADVANCED SERVER群集安装
  • Windows 网络管理技巧
  • 相关软件

  • 检测机器操作系统的版本  
  • 获取操作系统版本信息源代码  
  • 列举操作系统中所有的进程  
  • DOS操作系统支持软件的C语言源代码  
  • 多任务操作系统控制的DOS环境下的实现  
  • 各种操作系统磁盘文件的读取  
  • 32位操作系统OS/2的MPEG播放机  
  • 32位操作系统OS/2的 PPM 工具箱  
  • 获取操作系统版本信息  
  • 得到操作系统的信息  

  • 下载首页关于我们广告服务联系方式常见问题隐私声明法律条款本站声明下载帮助发布软件站点地图谷歌卫星地图