标签：服务 查看 windows 清理 system32 应用程序 systemroot% 日志

　　系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。

 

一、实验目的

1）掌握常见服务的日志记录位置；

2）阅读常见服务产生的日志；

3）掌握系统日志、服务日志和计划任务日志的清理方法。

 

二、实验步骤

1）日志查看

　　①启动Windows实验台，点击：开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。

　　

 　　②应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员可以改变这个默认大小。

      　安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

     　 系统日志文件：%systemroot%\system32\config\SysEvent.EVT；

      　应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

    　  DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

    　  在事件查看器中右键应用程序（或安全性、系统、DNS服务器）查看属性可以得到日志存放文件的路径，并可修改日志文件的大小，清除日志。例如选中“应用程序”右键属性，如下图：

　　

　　　选中事件查看器中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选择“筛选”。或者点击属性页面的筛选器标签，日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录。

　　③查看www和ftp日志文件夹下的日志文件

　　　Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，

    　  Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，

　　　尝试对www服务中某一文件进行访问，则日志中则会有相应的日志记录。

 注意：

              日志中记录了访问www服务的请求地址，管理员可以根据请求地址，发现网络上的攻击，管理员可根据日志信息，采取一定的防护措施。

              ftp的日志中同样会记录ftp服务的登陆用户，以及登陆之后的操作。

 

　　④计划任务日志

　　　当入侵者得到远程系统的shell之后，常会利用计划任务运行功能更加强大的木马程序，计划任务日志详细的记录的计划任务的执行时间，程序名称等详细信息。

     　 打开计划任务文件夹，点击“高级”-查看日志，即可查看计划任务日志。

　　　　

 

2）日志清除

　①删除时间查看器中的日志

     主机下载使用elsave清除日志工具 

     下载地址：http://tools.hetianlab.com/tools/Elsave.rar

     先用ipc$管道进行连接，在cmd命令提示符下输入 net use \\对方IP（实验台IP）\ipc$ "密码" /user:"用户名"；

     连接成功后，开始进行日志清除。

    清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C

    清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C

    清除目标系统的安全日志输入elsave.exe -s \\对方IP -l "security" -C

　 输入如下图：

　　

　　回车后可以查看远程主机内的系统日志已经被删除了　

　　

　②删除常见服务日志

    　IIS的日志功能，它可以详细的记录下入侵全过程，如用unicode入侵时IE里打的命令，和对80端口扫描时留下的痕迹。　 

    　手动清除：日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。进入到远程主机后（也可直接在实验台中操作），cmd下切换到这个目录下，然后 del *.*。或者删除某一天的日志。如果无法删除文件，首先需要停止w3svc服务，再对日志文件进行删除，使用net 命令停止服务如下：

    　C:\>net stop w3svc

    　World Wide Web Publishing Service 服务正在停止。

  　  World Wide Web Publishing Service 服务已成功停止。

    　 日志w3svc停止后，然后清空它的日志, del *.*

   　  C:\>net start w3svc

    　 清除ftp日志，日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志，清除方法同上。

　　③删除计划任务日志

　　　在实验台中命令行进入日志所在文件夹下（%systemroot%\Tasks）， 删除schedlgu.txt ， 提示无法访问文件，因为另一个程序正在使用此文件。说明服务保护，需要先把服务停掉。命令行中输入net stop schedule;

　　

　　下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

    　Remote Storage Engine

    　Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

    　如上显示服务停掉了，同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt；

   　 删除后需要再次启动该任务以便主机能够正常工作，输入net start schedule：

　　

 

 

三、心得体会

　　此次实验是对windows日志的查看与清理，这是第一次运用到两个实验机，并进行远程连接。对于远程连接，一定要注意区分我方系统和目标系统，切记不要搞混。

 

四、分析与思考

1）还有哪些途径可以发现网络中存在的攻击或者入侵。

答：带扫描行为监测的防火墙，数据库审计，IDS，IPS，APT监测等。

 

2）清理日志能否把所有的痕迹都清理干净。

答：不能。

 

五、答题　　

　　

 

标签：服务,查看,windows,清理,system32,应用程序,systemroot%,日志
来源： https://www.cnblogs.com/rootlks/p/15265745.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。