文章內(nèi)容

Widnows日志文件分析

發(fā)布時間: 2012/6/23 18:18:55

日志文件，它記錄著Windows系統(tǒng)及其各種服務(wù)運行的每個細(xì)節(jié)，對增強(qiáng)Windows的穩(wěn)定和安全性，起著非常重要的作用。但許多用戶不注意對它保護(hù)，一些“不速之客”很輕易就將日志文件清空，給系統(tǒng)帶來嚴(yán)重的安全隱患。
　　一、什么是日志文件
　　日志文件是Windows系統(tǒng)中一個比較特殊的文件，它記錄著Windows系統(tǒng)中所發(fā)生的一切，如各種系統(tǒng)服務(wù)的啟動、運行、關(guān)閉等信息。Windows日志包括應(yīng)用程序、安全、系統(tǒng)等幾個部分，它的存放路徑是“%systemroot%\system32\config”，應(yīng)用程序日志、安全日志和系統(tǒng)日志對應(yīng)的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log（事件記錄）”服務(wù)的保護(hù)不能被刪除，但可以被清空。
　　二、如何查看日志文件
　　在Windows系統(tǒng)中查看日志文件很簡單。點擊“開始→設(shè)置→控制面板→管理工具→事件查看器”，在事件查看器窗口左欄中列出本機(jī)包含的日志類型，如應(yīng)用程序、安全、系統(tǒng)等。查看某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應(yīng)用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細(xì)信息，這樣我們就能準(zhǔn)確的掌握系統(tǒng)中到底發(fā)生了什么事情，是否影響Windows的正常運行，一旦出現(xiàn)問題，即時查找排除。
　　三、Windows日志文件的保護(hù)
　　日志文件對我們?nèi)绱酥匾�，因此不能忽視對它的保護(hù)，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。
　　1、修改日志文件存放目錄
　　Windows日志文件默認(rèn)路徑是“%systemroot%\system32\config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強(qiáng)對日志的保護(hù)。
　　點擊“開始→運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System幾個子項分別對應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。
　　以應(yīng)用程序日志為例，將其轉(zhuǎn)移到“d:\cce”目錄下。選中Application子項（如圖），在右欄中找到File鍵，其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%\system32\config\AppEvent.Evt”，將它修改為“d:\cce\AppEvent.Evt”。接著在D盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統(tǒng)，完成應(yīng)用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作。
　　2．設(shè)置文件訪問權(quán)限
　　修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權(quán)限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。
　　右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標(biāo)簽頁后，首先取消“允許將來自父系的可繼承權(quán)限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權(quán)限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權(quán)限，最后點擊“確定”按鈕。這樣當(dāng)用戶清除Windows日志時，就會彈出錯誤對話框。
　　四、Windows日志實例分析
　　在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。
　　1．查看正常開關(guān)機(jī)記錄
　　在Windows系統(tǒng)中，我們可以通過事件查看器的系統(tǒng)日志查看計算機(jī)的開、關(guān)機(jī)記錄，這是因為日志服務(wù)會隨計算機(jī)一起啟動或關(guān)閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止，如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID號為6006的事件，就表示計算機(jī)在這天沒有正常關(guān)機(jī)，可能是因為系統(tǒng)原因或者直接切斷電源導(dǎo)致沒有執(zhí)行正常的關(guān)機(jī)操作。
　　2．查看DHCP配置警告信息
　　在規(guī)模較大的網(wǎng)絡(luò)中，一般都是采用DHCP服務(wù)器配置客戶端IP地址信息，如果客戶機(jī)無法找到DHCP服務(wù)器，就會自動使用一個內(nèi)部的IP地址配置客戶端，并且在Windows日志中產(chǎn)生一個事件ID號為1007的事件。如果用戶在日志中發(fā)現(xiàn)該編號事件，說明該機(jī)器無法從DHCP服務(wù)器獲得信息，就要查看是該機(jī)器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問題。
　　五、WEB日志文件分析
　　以下列日志記錄為例，進(jìn)行分析：
　　#Software: Microsoft Internet Information Services 6.0
　　#Version: 1.0
　　#Date: 2006-09-24 07:19:27
　　#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /index.asp - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/css.css - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/1.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/home_top_new2.jpg - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　分析：
　　date表示記錄訪問日期；
　　time訪問時間；
　　s-sitename表示你的虛擬主機(jī)的代稱。
　　s-ip；服務(wù)端ip
　　cs-method表示訪問方法，常見的有兩種，一是GET，就是平常我們打開一個URL訪問的動作，二是POST，提交表單時的動作；
　　cs-uri-stem就是訪問哪一個文件；
　　cs-uri-query是指訪問地址的附帶參數(shù)，如asp文件后面的字符串id=12等等，如果沒有參數(shù)則用-表示；
　　s-port 訪問的端口
　　cs-username 訪問者名稱
　　c-ip訪問者IP
　　cs(User-Agent)訪問來源；
　　sc-status狀態(tài)，200表示成功，403表示沒有權(quán)限，404表示打不到該頁面，500表示程序有錯；
　　sc-substatus 服務(wù)端傳送到客戶端的字節(jié)大�。�
　　cs–win32-statu客戶端傳送到服務(wù)端的字節(jié)大�。�
　　1**：請求收到，繼續(xù)處理
　　2**：操作成功收到，分析、接受
　　3**：完成此請求必須進(jìn)一步處理
　　4**：請求包含一個錯誤語法或不能完成
　　5**：服務(wù)器執(zhí)行一個完全有效請求失敗
　　100——客戶必須繼續(xù)發(fā)出請求
　　101——客戶要求服務(wù)器根據(jù)請求轉(zhuǎn)換HTTP協(xié)議版本
　　200——交易成功
　　201——提示知道新文件的URL
　　202——接受和處理、但處理未完成
　　203——返回信息不確定或不完整
　　204——請求收到，但返回信息為空
　　205——服務(wù)器完成了請求，用戶代理必須復(fù)位當(dāng)前已經(jīng)瀏覽過的文件
　　206——服務(wù)器已經(jīng)完成了部分用戶的GET請求
　　300——請求的資源可在多處得到
　　301——刪除請求數(shù)據(jù)
　　302——在其他地址發(fā)現(xiàn)了請求數(shù)據(jù)
　　303——建議客戶訪問其他URL或訪問方式
　　304——客戶端已經(jīng)執(zhí)行了GET，但文件未變化
　　305——請求的資源必須從服務(wù)器指定的地址得到
　　306——前一版本HTTP中使用的代碼，現(xiàn)行版本中不再使用
　　307——申明請求的資源臨時性刪除
　　400——錯誤請求，如語法錯誤
　　401——請求授權(quán)失敗
　　402——保留有效ChargeTo頭響應(yīng)
　　403——請求不允許
　　404——沒有發(fā)現(xiàn)文件、查詢或URl
　　405——用戶在Request-Line字段定義的方法不允許
　　406——根據(jù)用戶發(fā)送的Accept拖，請求資源不可訪問
　　407——類似401，用戶必須首先在代理服務(wù)器上得到授權(quán)
　　408——客戶端沒有在用戶指定的餓時間內(nèi)完成請求
　　409——對當(dāng)前資源狀態(tài)，請求不能完成
　　410——服務(wù)器上不再有此資源且無進(jìn)一步的參考地址
　　411——服務(wù)器拒絕用戶定義的Content-Length屬性請求
　　412——一個或多個請求頭字段在當(dāng)前請求中錯誤
　　413——請求的資源大于服務(wù)器允許的大小
　　414——請求的資源URL長于服務(wù)器允許的長度
　　415——請求資源不支持請求項目格式
　　416——請求中包含Range請求頭字段，在當(dāng)前請求資源范圍內(nèi)沒有range指示值，請求也不包含If-Range請求頭字段
　　417——服務(wù)器不滿足請求Expect頭字段指定的期望值，如果是代理服務(wù)器，可能是下一級服務(wù)器不能滿足請求
　　500——服務(wù)器產(chǎn)生內(nèi)部錯誤
　　501——服務(wù)器不支持請求的函數(shù)
　　502——服務(wù)器暫時不可用，有時是為了防止發(fā)生系統(tǒng)過載
　　503——服務(wù)器過載或暫停維修
　　504——關(guān)口過載，服務(wù)器使用另一個關(guān)口或服務(wù)來響應(yīng)用戶，等待時間設(shè)定值較長
　　505——服務(wù)器不支持或拒絕支請求頭中指定的HTTP版本
　　FTP日志分析
　　FTP日志和WWW日志在默認(rèn)情況下，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日產(chǎn)生的日志，用記事本可直接打開，普通的有入侵行為的日志一般是這樣的：
　　#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）
　　#Version: 1.0 （版本1.0）
　　#Date: 20040419 0315 （服務(wù)啟動時間日期）
　　#Fields: time cip csmethod csuristem scstatus
　　0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1用戶名為administator試圖登錄）
　　0318 127.0.0.1 [1]PASS – 530（登錄失敗）
　　032:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）
　　032:06 127.0.0.1 [1]PASS – 530（登錄失�。�
　　032:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）
　　0322 127.0.0.1 [1]PASS – 530（登錄失�。�
　　0322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1用戶名為administrator試圖登錄）
　　0324 127.0.0.1 [1]PASS – 230（登錄成功）
　　0321 127.0.0.1 [1]MKD nt 550（新建目錄失�。�
　　0325 127.0.0.1 [1]QUIT – 550（退出FTP程序）
　　從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知這個ＩＰ至少有入侵企圖！而他的入侵時間、IP地址以及探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用Administrator用戶名進(jìn)入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系統(tǒng)出什么問題了。