資源描述:
《windows2000的日志文件詳述及刪除方法》由會員上傳分享��,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1��、Windows2000的日志文件詳述及刪除方法Windows2000的日志文件詳述及刪除方法Windows2000的日志文件通常有應(yīng)用程序日志����,安全日志、系統(tǒng)日志����、DNS服務(wù)器日志、FTP日志��、WWW日志等等����,可能會根據(jù)服務(wù)器所開啟的服務(wù)不同。當我們用流光探測時��,比如說IPC探測,就會在安全日志里迅速地記下流光探測時所用的用戶名�����、時間等等���,用FTP探測后�����,也會立刻在FTP日志中記下IP��、時間���、探測所用的用戶名和密碼等等。甚至連流影啟動時需要msvcp60.dll這個動庫鏈接庫���,如果服務(wù)器沒有這個文件都會在日志里記錄下來��,這就是為什么不要拿國內(nèi)主機探測的原因了�,他們
2���、記下你的IP后會很容易地找到你��,只要他想找你?。∵€有Scheduler日志這也是個重要的LOG�,你應(yīng)該知道經(jīng)常使用的srv.exe就是通過這個服務(wù)來啟動的,其記錄著所有由Scheduler服務(wù)啟動的所有行為����,如服務(wù)的啟動和停止���。日志文件默認位置:應(yīng)用程序日志��、安全日志�、系統(tǒng)日志����、DNS日志默認位置:%systemroot%system32config,默認文件大小512KB�����,管理員都會改變這個默認大小��。安全日志文件:%systemroot%system32configSecEvent.EVT系統(tǒng)日志文件:%systemroot%system32con
3�����、figSysEvent.EVT應(yīng)用程序日志文件:%systemroot%system32configAppEvent.EVTInternet信息服務(wù)FTP日志默認位置:%systemroot%system32logfilesmsftpsvc1,默認每天一個日志Internet信息服務(wù)WWW日志默認位置:%systemroot%system32logfilesw3svc1�����,默認每天一個日志Scheduler服務(wù)日志默認位置:%systemroot%schedlgu.txt以上日志在注冊表里的鍵:應(yīng)用程序日志�����,安全日志�����,系統(tǒng)日志���,DNS服務(wù)器
4�����、日志�����,它們這些LOG文件在注冊表中的:HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog有的管理員很可能將這些日志重定位�����。其中EVENTLOG下面有很多的子表�,里面可查到以上日志的定位目錄。Schedluler服務(wù)日志在注冊表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgentFTP和WWW日志詳解:FTP日志和WWW日志默認情況�����,每天生成一個日志文件��,包含了該日的一切記錄�,文件名通常為ex(年份)(月份)(日期),例如ex001023�����,
5���、就是2000年10月23日產(chǎn)生的日志,用記事本就可直接打開�,如下例:#Software:MicrosoftInternetInformationServices5.0 (微軟IIS5.0)#Version:1.0(版本1.0)#Date:200010230315(服務(wù)啟動時間日期)#Fields:timecipcsmethodcsuristemscstatus0315127.0.0.1[1]USERadministator331?。↖P地址為127.0.0.1用戶名為administator試圖登錄)0318127.0.0.1[1]PASS–530 (登錄失?。?/p>
6�、032:04127.0.0.1[1]USERnt331?�。↖P地址為127.0.0.1用戶名為nt的用戶試圖登錄)032:06127.0.0.1[1]PASS–530?���。ǖ卿浭。?32:09127.0.0.1[1]USERcyz331?����。↖P地址為127.0.0.1用戶名為cyz的用戶試圖登錄)0322127.0.0.1[1]PASS–530?��。ǖ卿浭�。?322127.0.0.1[1]USERadministrator331?����。↖P地址為127.0.0.1用戶名為administrator試圖登錄)0324127.0.0.1[1]PASS–230?�。ǖ卿洺晒Γ?/p>
7��、0321127.0.0.1[1]MKDnt550?����。ㄐ陆夸浭。?325127.0.0.1[1]QUIT–550?。ㄍ顺鯢TP程序)從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng),換了四次用戶名和密碼才成功�����,管理員立即就可以得知管理員的入侵時間�、IP地址以及探測的用戶名,如上例入侵者最終是用administrator用戶名進入的�����,那么就要考慮更換此用戶名的密碼��,或者重命名administrator用戶�����。WWW日志W(wǎng)WW服務(wù)同F(xiàn)TP服務(wù)一樣�����,產(chǎn)生的日志也是在%systemroot%system32LogFilesW3SVC1目錄下����,默認是
8、每天一個日
