日志文件,它記錄著Windows系統(tǒng)及其各種服務(wù)運(yùn)行的每個(gè)細(xì)節(jié),對(duì)增強(qiáng)Windows的穩(wěn)定和安全性,起著非常重要的作用。但許多用戶(hù)不注意對(duì)它保護(hù),一些“不速之客”很輕易就將日志文件清空,給系統(tǒng)帶來(lái)嚴(yán)重的安全隱患。
一、什么是日志文件
日志文件是Windows系統(tǒng)中一個(gè)比較特殊的文件,它記錄著Windows系統(tǒng)中所發(fā)生的一切,如各種系統(tǒng)服務(wù)的啟動(dòng)、運(yùn)行、關(guān)閉等信息。Windows日志包括應(yīng)用程序、安全、系統(tǒng)等幾個(gè)部分,它的存放路徑是“%systemroot%\system32\config”,應(yīng)用程序日志、安全日志和系統(tǒng)日志對(duì)應(yīng)的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log(事件記錄)”服務(wù)的保護(hù)不能被刪除,但可以被清空。
二、如何查看日志文件
在Windows系統(tǒng)中查看日志文件很簡(jiǎn)單。點(diǎn)擊“開(kāi)始→設(shè)置→控制面板→管理工具→事件查看器”,在事件查看器窗口左欄中列出本機(jī)包含的日志類(lèi)型,如應(yīng)用程序、安全、系統(tǒng)等。查看某個(gè)日志記錄也很簡(jiǎn)單,在左欄中選中某個(gè)類(lèi)型的日志,如應(yīng)用程序,接著在右欄中列出該類(lèi)型日志的所有記錄,雙擊其中某個(gè)記錄,彈出“事件屬性”對(duì)話(huà)框,顯示出該記錄的詳細(xì)信息,這樣我們就能準(zhǔn)確的掌握系統(tǒng)中到底發(fā)生了什么事情,是否影響Windows的正常運(yùn)行,一旦出現(xiàn)問(wèn)題,即時(shí)查找排除。
三、Windows日志文件的保護(hù)
日志文件對(duì)我們?nèi)绱酥匾虼瞬荒芎鲆晫?duì)它的保護(hù),防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。
1、修改日志文件存放目錄
Windows日志文件默認(rèn)路徑是“%systemroot%\system32\config”,我們可以通過(guò)修改注冊(cè)表來(lái)改變它的存儲(chǔ)目錄,來(lái)增強(qiáng)對(duì)日志的保護(hù)。
點(diǎn)擊“開(kāi)始→運(yùn)行”,在對(duì)話(huà)框中輸入“Regedit”,回車(chē)后彈出注冊(cè)表編輯器,依次展開(kāi)“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System幾個(gè)子項(xiàng)分別對(duì)應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。
以應(yīng)用程序日志為例,將其轉(zhuǎn)移到“d:\cce”目錄下。選中Application子項(xiàng)(如圖),在右欄中找到File鍵,其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%\system32\config\AppEvent.Evt”,將它修改為“d:\cce\AppEvent.Evt”。接著在D盤(pán)新建“CCE”目錄,將“AppEvent.Evt”拷貝到該目錄下,重新啟動(dòng)系統(tǒng),完成應(yīng)用程序日志文件存放目錄的修改。其它類(lèi)型日志文件路徑修改方法相同,只是在不同的子項(xiàng)下操作。
2. 設(shè)置文件訪問(wèn)權(quán)限
修改了日志文件的存放目錄后,日志還是可以被清空的,下面通過(guò)修改日志文件訪問(wèn)權(quán)限,防止這種事情發(fā)生,前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。
右鍵點(diǎn)擊D盤(pán)的CCE目錄,選擇“屬性”,切換到“安全”標(biāo)簽頁(yè)后,首先取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)勾選。接著在賬號(hào)列表框中選中“Everyone”賬號(hào),只給它賦予“讀取”權(quán)限;然后點(diǎn)擊“添加”按鈕,將“System”賬號(hào)添加到賬號(hào)列表框中,賦予除“完全控制”和“修改”以外的所有權(quán)限,最后點(diǎn)擊“確定”按鈕。這樣當(dāng)用戶(hù)清除Windows日志時(shí),就會(huì)彈出錯(cuò)誤對(duì)話(huà)框。
四、Windows日志實(shí)例分析
在Windows日志中記錄了很多操作事件,為了方便用戶(hù)對(duì)它們的管理,每種類(lèi)型的事件都賦予了一個(gè)惟一的編號(hào),這就是事件ID。
1. 查看正常開(kāi)關(guān)機(jī)記錄
在Windows系統(tǒng)中,我們可以通過(guò)事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開(kāi)、關(guān)機(jī)記錄,這是因?yàn)槿罩痉⻊?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉,并在日志中留下記錄。這里我們要介紹兩個(gè)事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動(dòng),如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件,就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止,如果沒(méi)有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件,就表示計(jì)算機(jī)在這天沒(méi)有正常關(guān)機(jī),可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒(méi)有執(zhí)行正常的關(guān)機(jī)操作。
2. 查看DHCP配置警告信息
在規(guī)模較大的網(wǎng)絡(luò)中,一般都是采用DHCP服務(wù)器配置客戶(hù)端IP地址信息,如果客戶(hù)機(jī)無(wú)法找到DHCP服務(wù)器,就會(huì)自動(dòng)使用一個(gè)內(nèi)部的IP地址配置客戶(hù)端,并且在Windows日志中產(chǎn)生一個(gè)事件ID號(hào)為1007的事件。如果用戶(hù)在日志中發(fā)現(xiàn)該編號(hào)事件,說(shuō)明該機(jī)器無(wú)法從DHCP服務(wù)器獲得信息,就要查看是該機(jī)器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問(wèn)題。
五、WEB日志文件分析
以下列日志記錄為例,進(jìn)行分析:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-09-24 07:19:27
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /index.asp - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/css.css - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/1.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/home_top_new2.jpg - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
分析:
date表示記錄訪問(wèn)日期;
time訪問(wèn)時(shí)間;
s-sitename表示你的虛擬主機(jī)的代稱(chēng)。
s-ip;服務(wù)端ip
cs-method表示訪問(wèn)方法,常見(jiàn)的有兩種,一是GET,就是平常我們打開(kāi)一個(gè)URL訪問(wèn)的動(dòng)作,二是POST,提交表單時(shí)的動(dòng)作;
cs-uri-stem就是訪問(wèn)哪一個(gè)文件;
cs-uri-query是指訪問(wèn)地址的附帶參數(shù),如asp文件后面的字符串id=12等等,如果沒(méi)有參數(shù)則用-表示;
s-port 訪問(wèn)的端口
cs-username 訪問(wèn)者名稱(chēng)
c-ip訪問(wèn)者IP
cs(User-Agent)訪問(wèn)來(lái)源;
sc-status狀態(tài),200表示成功,403表示沒(méi)有權(quán)限,404表示打不到該頁(yè)面,500表示程序有錯(cuò);
sc-substatus 服務(wù)端傳送到客戶(hù)端的字節(jié)大;
cs–win32-statu客戶(hù)端傳送到服務(wù)端的字節(jié)大;
1**:請(qǐng)求收到,繼續(xù)處理
2**:操作成功收到,分析、接受
3**:完成此請(qǐng)求必須進(jìn)一步處理
4**:請(qǐng)求包含一個(gè)錯(cuò)誤語(yǔ)法或不能完成
5**:服務(wù)器執(zhí)行一個(gè)完全有效請(qǐng)求失敗
100——客戶(hù)必須繼續(xù)發(fā)出請(qǐng)求
101——客戶(hù)要求服務(wù)器根據(jù)請(qǐng)求轉(zhuǎn)換HTTP協(xié)議版本
200——交易成功
201——提示知道新文件的URL
202——接受和處理、但處理未完成
203——返回信息不確定或不完整
204——請(qǐng)求收到,但返回信息為空
205——服務(wù)器完成了請(qǐng)求,用戶(hù)代理必須復(fù)位當(dāng)前已經(jīng)瀏覽過(guò)的文件
206——服務(wù)器已經(jīng)完成了部分用戶(hù)的GET請(qǐng)求
300——請(qǐng)求的資源可在多處得到
301——刪除請(qǐng)求數(shù)據(jù)
302——在其他地址發(fā)現(xiàn)了請(qǐng)求數(shù)據(jù)
303——建議客戶(hù)訪問(wèn)其他URL或訪問(wèn)方式
304——客戶(hù)端已經(jīng)執(zhí)行了GET,但文件未變化
305——請(qǐng)求的資源必須從服務(wù)器指定的地址得到
306——前一版本HTTP中使用的代碼,現(xiàn)行版本中不再使用
307——申明請(qǐng)求的資源臨時(shí)性刪除
400——錯(cuò)誤請(qǐng)求,如語(yǔ)法錯(cuò)誤
401——請(qǐng)求授權(quán)失敗
402——保留有效ChargeTo頭響應(yīng)
403——請(qǐng)求不允許
404——沒(méi)有發(fā)現(xiàn)文件、查詢(xún)或URl
405——用戶(hù)在Request-Line字段定義的方法不允許
406——根據(jù)用戶(hù)發(fā)送的Accept拖,請(qǐng)求資源不可訪問(wèn)
407——類(lèi)似401,用戶(hù)必須首先在代理服務(wù)器上得到授權(quán)
408——客戶(hù)端沒(méi)有在用戶(hù)指定的餓時(shí)間內(nèi)完成請(qǐng)求
409——對(duì)當(dāng)前資源狀態(tài),請(qǐng)求不能完成
410——服務(wù)器上不再有此資源且無(wú)進(jìn)一步的參考地址
411——服務(wù)器拒絕用戶(hù)定義的Content-Length屬性請(qǐng)求
412——一個(gè)或多個(gè)請(qǐng)求頭字段在當(dāng)前請(qǐng)求中錯(cuò)誤
413——請(qǐng)求的資源大于服務(wù)器允許的大小
414——請(qǐng)求的資源URL長(zhǎng)于服務(wù)器允許的長(zhǎng)度
415——請(qǐng)求資源不支持請(qǐng)求項(xiàng)目格式
416——請(qǐng)求中包含Range請(qǐng)求頭字段,在當(dāng)前請(qǐng)求資源范圍內(nèi)沒(méi)有range指示值,請(qǐng)求也不包含If-Range請(qǐng)求頭字段
417——服務(wù)器不滿(mǎn)足請(qǐng)求Expect頭字段指定的期望值,如果是代理服務(wù)器,可能是下一級(jí)服務(wù)器不能滿(mǎn)足請(qǐng)求
500——服務(wù)器產(chǎn)生內(nèi)部錯(cuò)誤
501——服務(wù)器不支持請(qǐng)求的函數(shù)
502——服務(wù)器暫時(shí)不可用,有時(shí)是為了防止發(fā)生系統(tǒng)過(guò)載
503——服務(wù)器過(guò)載或暫停維修
504——關(guān)口過(guò)載,服務(wù)器使用另一個(gè)關(guān)口或服務(wù)來(lái)響應(yīng)用戶(hù),等待時(shí)間設(shè)定值較長(zhǎng)
505——服務(wù)器不支持或拒絕支請(qǐng)求頭中指定的HTTP版本
FTP日志分析
FTP日志和WWW日志在默認(rèn)情況下,每天生成一個(gè)日志文件,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日產(chǎn)生的日志,用記事本可直接打開(kāi),普通的有入侵行為的日志一般是這樣的:
#Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20040419 0315 (服務(wù)啟動(dòng)時(shí)間日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331(IP地址為127.0.0.1用戶(hù)名為administator試圖登錄)
0318 127.0.0.1 [1]PASS – 530(登錄失。
032:04 127.0.0.1 [1]USER nt 331(IP地址為127.0.0.1用戶(hù)名為nt的用戶(hù)試圖登錄)
032:06 127.0.0.1 [1]PASS – 530(登錄失敗)
032:09 127.0.0.1 [1]USER cyz 331(IP地址為127.0.0.1用戶(hù)名為cyz的用戶(hù)試圖登錄)
0322 127.0.0.1 [1]PASS – 530(登錄失。
0322 127.0.0.1 [1]USER administrator 331(IP地址為127.0.0.1用戶(hù)名為administrator試圖登錄)
0324 127.0.0.1 [1]PASS – 230(登錄成功)
0321 127.0.0.1 [1]MKD nt 550(新建目錄失。
0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)
從日志里就能看出IP地址為127.0.0.1的用戶(hù)一直試圖登錄系統(tǒng),換了四次用戶(hù)名和密碼才成功,管理員立即就可以得知這個(gè)IP至少有入侵企圖!而他的入侵時(shí)間、IP地址以及探測(cè)的用戶(hù)名都很清楚的記錄在日志上。如上例入侵者最終是用Administrator用戶(hù)名進(jìn)入的,那么就要考慮此用戶(hù)名是不是密碼失竊?還是被別人利用?接下來(lái)就要想想系統(tǒng)出什么問(wèn)題了。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話(huà):0371-63322206 本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|