- Community Home
- >
- HPE Community, China
- >
- 服务器
- >
- 工业标准服务器
- >
- 分享我的技巧 : Windows2000的日志文件详述及删除方法
工业标准服务器
1824499
成员
3677
在线
109672
解答
论坛
类别
Company
Local Language
返回
论坛
讨论平台
论坛
- Data Protection and Retention
- Entry Storage Systems
- Legacy
- Midrange and Enterprise Storage
- Storage Networking
- HPE Nimble Storage
讨论平台
论坛
讨论平台
返回
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
- BladeSystem Infrastructure and Application Solutions
- Appliance Servers
- Alpha Servers
- BackOffice Products
- Internet Products
- HPE 9000 and HPE e3000 Servers
- Networking
- Netservers
- Secure OS Software for Linux
- Server Management (Insight Manager 7)
- Windows Server 2003
- Operating System - Tru64 Unix
- ProLiant Deployment and Provisioning
- Linux-Based Community / Regional
- Microsoft System Center Integration
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
博客
信息
社区语言
语言
论坛
博客
- 将帖子标记为未读
- 加注书签
- 订阅
- 禁止
- 订阅此主题的 RSS 提要
- 高亮显示此帖
- 打印此帖
- 报告不当内容
修改时间 06-20-2004 07:33 AM
修改时间 06-20-2004 07:33 AM
分享我的技巧 : Windows2000的日志文件详述及删除方法
Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是裁床灰霉谥骰讲獾脑蛄耍羌窍履愕腎P后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。
日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT
系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT
应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
FTP和WWW日志详解:
FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:
#Software: Microsoft Internet Information Services 5.0 (微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)
0318 127.0.0.1 PASS – 530 (登录失败)
032:04 127.0.0.1 USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)
032:06 127.0.0.1 PASS – 530 (登录失败)
032:09 127.0.0.1 USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)
0322 127.0.0.1 PASS – 530 (登录失败)
0322 127.0.0.1 USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)
0324 127.0.0.1 PASS – 230 (登录成功)
0321 127.0.0.1 MKD nt 550 (新建目录失败)
0325 127.0.0.1 QUIT – 550 (退出FTP程序)
从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用adminis
日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT
系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT
应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
FTP和WWW日志详解:
FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例:
#Software: Microsoft Internet Information Services 5.0 (微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)
0318 127.0.0.1 PASS – 530 (登录失败)
032:04 127.0.0.1 USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录)
032:06 127.0.0.1 PASS – 530 (登录失败)
032:09 127.0.0.1 USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)
0322 127.0.0.1 PASS – 530 (登录失败)
0322 127.0.0.1 USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)
0324 127.0.0.1 PASS – 230 (登录成功)
0321 127.0.0.1 MKD nt 550 (新建目录失败)
0325 127.0.0.1 QUIT – 550 (退出FTP程序)
从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用adminis
以上表述为作者个人观点,不代表惠普公司,使用本网站,请遵守网站使用规则和条款
© 版权所有 2025 慧与发展有限责任合伙企业