来源:黑白之道(ID:i77169) Windows服务器日志管理是在安全管理中十分重要的技术手段,涉及日志定义、日志查询、日志备份与清除等。这次学习了Windows服务器下日志的查询与清除方法。 系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,我们不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。 安全日志中存放了审核事件是否成功的信息。通过查看这些信息,我们可以了解到这些安全审核结果为成功还是失败。 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent. EVT; 系统日志文件:%systemroot%\system32\config\SysEvent. EVT; 应用程序日志件:%systemroot%\system32\config\AppEvent.EVT; DNS日志:%systemroot%\system32\config\DnsEvent.EVT; 一、查看日志文件 开始——管理工具——事件查看器。 在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。 当我们尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录。日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息决定防护方法。 三、本地iis日志清除 iis的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里输入的命令、对80端口扫描时留下的痕迹。 手动清除:日志的默认位置:C:\i netpu b\logs\logfiles\w3svcl\,默认每天一个日志。cmd下切换到这个目录下。然后del.。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务.再对日志文件进行册除。 |
|