教你学会审核WINDOWS安全日志
登录类型
登录类型2:交互式登录(INTERACTIVE)
本地键盘上的登录,基于网络上的KVM登录也是这种类型!
登录类型3:网络(NETWORK)
当你从网络***问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!
登录类型4:批处理(BA TCH)
运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码!
登录类型5:服务(SERVICE)
一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话,记为类型5!
登录类型7:解锁(UNLOOK)
解除锁定的PC密码,比如对屏保密码的解除操作!
登录类型8:网络明文(NETWORKCLEARTEXT)
网络明文传输!
登录类型9:新凭证(NEWCREDENTIALS)
登录类型10:远程交互(REMOTEINTERACTIVE)
通过终端服务,远程桌面,或远程协约访问PC时,WINDOWS记为类垀?10!
登录类型11:缓存交互(CACHEDINTERACTIVE)
安全事件日志中的事件编号与描述........................................................................................
帐号登录事件
........................
(事件编号与描述)
672 身份验证服务(AS)票证得到成功发行与验证。
673 票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建AS票证或TGS票证。
675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。676 身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
677 TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。
帐号管理事件
624 一个用户帐号被创建。
627 一个用户密码被修改。
628 一个用户密码被设置。
630 一个用户密码被删除。
631 一个全局组被创建。
632 一个成员被添加到特定全局组中。
633 一个成员从特定全局组中被删除。
634 一个全局组被删除。
635 一个新的本地组被创建。
636 一个成员被添加到本地组中。
637 一个成员从本地组中被删除。
638 一个本地组被删除。
639 一个本地组帐号被修改。
641 一个全局组帐号被修改。
642 一个用户帐号被修改。
643 一个域策略被修改。
644 一个用户帐号被自动锁定。
645 一个计算机帐号被创建。
646 一个计算机帐号被修改。
647 一个计算机帐号被删除。
648 一个禁用安全特性的本地安全组被创建。说明:正式名称中的SECURITY_DISABLED 意味着这个组无法用于在访问检查中授予权限。
649 一个禁用安全特性的本地安全组被修改。
650 一个成员被添加到一个禁用安全特性的本地安全组中。
651 一个成员从一个禁用安全特性的本地安全组中被删除。
652 一个禁用安全特性的本地组被删除。
653 一个禁用安全特性的全局组被创建。
654 一个禁用安全特性的全局组被修改。
655 一个成员被添加到一个禁用安全特性的全局组中。
656 一个成员从一个禁用安全特性的全局组中被删除。
657 一个禁用安全特性的全局组被删除。
658 一个启用安全特性的通用组被创建。
659 一个启用安全特性的通用组被修改。
660 一个成员被添加到一个启用安全特性的通用组中。
661 一个成员从一个启用安全特性的通用组中被删除。
662 一个启用安全特性的通用组被删除。
663 一个禁用安全特性的通用组被创建。
664 一个禁用安全特性的通用组被修改。
665 一个成员被添加到一个禁用安全特性的通用组中。
666 一个成员从一个禁用安全特性的通用组中被删除。
667 一个禁用安全特性的通用组被删除。
668 一个组类型被修改。
684 管理组成员的安全描述符被设置。说明:在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。
685 一个帐号名称被修改。
审核登录事件
......................
528 用户成功登录到计算机上。
529 登录失败:试图使用未知用户名或带有错误密码的已知用户名进行登录。
530 登录失败:试图在允许时间范围以外进行登录。
531 登录失败:试图通过禁用帐号进行登录。
532 登录失败:试图通过过期帐号进行登录。
533 登录失败:试图通过不允许在特定计算机上进行登录的用户帐号进行登录。
534 登录失败:用户试图通过不允许使用的密码类型进行登录。
535 登录失败:针对指定帐号的密码已经过期。
536 登录失败:网络登录服务未被激活。
537 登录失败:由于其它原因导致登录失败。说明:在某些情况下,登录失败原因可能无法确定。
538 针对某一用户的注销操作完成。
539 登录失败:登录帐号在登录时刻已被锁定。
540 用户成功登录到网络。
541 本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换(IKE)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。
542 数据通道被中断。
543 主模式被中断。说明:这种事件可能在安全关联时间限制到期(缺省值为8小时)、策略修改或对等客户中断时发生。
544 由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。
545 由于Kerberos失败或密码不合法导致主模式身份验证失败。
546 由于对等客户发送非法了非法提议,IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。
547 IKE握手过程中发生错误。
548 登录失败:来自信任域的安全标识符(SID)与客户端的帐号域SID不匹配。
549 登录失败:在跨域身份验证过程中,所有同非信任名称空间相对应的SID均已被过滤。550 能够指示可能发生拒绝服务(DoS)攻击的通知消息。
551 用户发起注销操作。
552 用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。说明:这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。
对象访问事件
......................
560 访问由一个已经存在的对象提供授权。
562 一个对象访问句柄被关闭。
563 试图打开并删除一个对象。说明:当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时,这种事件将被文件系统所使用。
564 一个保护对象被删除。
565 访问由一种已经存在的对象类型提供授权。
567 一种与句柄相关联的权限被使用。说明:一个授予特定权限(读取、写入等)的句柄被创建。当使用这个句柄时,至多针对所用到的每种权限产生一次审核。
568 试图针对正在进行审核的文件创建硬连接。
569 身份验证管理器中的资源管理器试图创建客户端上下文。
570 客户端试图访问一个对象。说明:针对对象的每次操作尝试都将产生一个事件。
571 客户端上下文被身份验证管理器应用程序删除。
572 管理员管理器初始化应用程序。
772 证书管理器拒绝了挂起的证书申请。
773 证书服务收到重新提交的证书申请。
774 证书服务吊销了证书。
775 证书服务收到发行证书吊销列表(CRL) 的请求。
776 证书服务发行了证书吊销列表(CRL)。
777 更改了证书申请扩展。
778 更改了多个证书申请属性。
779 证书服务收到关机请求。
780 已开始证书服务备份。
781 已完成证书服务备份。
782 已开始证书服务还原。
783 已完成证书服务还原。
784 证书服务已经开始。
785 证书服务已经停止。
786 证书服务更改的安全权限。
787 证书服务检索了存档密钥。
788 证书服务尀?证书导入数据库中。
789 证书服务更改的审核筛选。
790 证书服务收到证书申请。
791 证书服务批准了证书申请并颁发了证书。
792 证书服务拒绝证书申请。
793 证书服务将证书申请状态设为挂起。
794 证书服务更改的证书管理器设置
795 证书服务更改的配置项。
796 证书服务更改属性。
797 证书服务存档了密钥。
798 证书服务导入和存档了密钥。
799 证书服务将证书发行机构(CA)证书发行到Active Directory。
800 从证书数据库删除一行或多行。
801 角色分隔被启用。
审核策略更改事件
.............................
608 用户权限已被分配。
609 用户权限已被删除。
610 与另一个域的信任关系已被创建。
611 与另一个域的信任关系已被删除。
612 审核策略已被更改。
613 Internet协议安全性(IPSec)策略代理已经启动。
614 IPSec策略代理已被禁用。
615 IPSec策略代理已被更改。
616 IPSec策略代理遇到一个潜在的严重问题。
617 Kerberos 5.0版策略已被更改。
618 经过加密的数据恢复策略已更改。
620 与另一个域的信任关系已被修改。
621 系统访问权限已被授予帐号。
622 系统访问权限已从帐号中删除。
623 审核策略以对等用户为单位进行设置。
625 审核策略以对等用户为单位进行刷新。
768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明:当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时,它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
769 添加了受信任的森林信息。说明:这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录,生成的所有事件消息都将被分配一个相同且唯一标识符(称作操作编号)。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS 名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
770 删除了受信任的森林信息。说明:查看编号为769的事件描述。
771 修改了受信任的森林信息。说明:查看编号为769的事件描述。
805 事件日志服务读取针对会话的安权限使用事件
权限使用事件
.......................
576 特定权限已被添加到用户访问令牌中。说明:这种事件将在用户登录时产生。
577 用户试图执行受到权限保护的系统服务操作。
578 在已经处于打开状态的受保护对象句柄上使用权限。
详细跟踪事件
......................
592 已经创建新的过程。
593 已经退出某过程。
594 对象的句柄被重复
595 已经取得对象的间接访问权。
596 数据保护主密钥备份。说明:主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统(EFS)所使用。这种主密钥将在每次创建新增主密钥时予以备份。(缺省设置为90天。)密钥备份操作通常由域控制器执行。
597 数据保护主密钥已由恢复服务器恢复完毕。
598 审核数据已得到保护。
599 审核数据保护已取消。
600 分派给进程一个主令牌。
601 用户尝试安装服务。
602 一个计划作业已被创建。
面向审核系统事件的系统事件消息
..........................................................
512 正在启动Windows。
513 Windows 正在关机。
514 本地安全机制机构已加载身份验证数据包。
515 受信任的登录过程已经在本地安全机制机构注册。
516 用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517 审核日志已经清除。
518 安全帐户管理器已经加载通知数据包。
519 一个过程正在试图通过无效本地过程调用(LPC)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520 系统时间已更改。说明:这种审核操作通常成对出现。
建立安全日志记录 为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何追踪。好的方面在于,不会发生日志信息爆满的问题以及提示日志已满的错误信息,这也是Windows Server 2003域控制器在没有任何预警下的行为。 安全日志事件跟踪可以使用组策略来建立和配置,当然你可以配置本地组策略对象,但是这样的话,你将需要对每台计算机进行单独配置。另外,你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪,首先打开连接到域的计算机上的Group Policy Management Console (GPMC,组策略管理控制台),并以管理员权限登录。在GPMC中,你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上),在本文中,我们将假设你有一个OU,这个OU中包含所有需要追踪相同安全日志信息的计算机,我们将使用台式计算机OU和AuditLog GPO。 编辑AuditLog GPO然后展开至以下节点: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy 类别控制范围的简要介绍 以下是关于每种类别控制范围的简要介绍: 审计帐户登录事件–每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计,计算机执行该审计是为了验证帐户,关于这一点的最好例子就是,当用户登录到他们的Windows XP Professional计算机上,总是由域控制器来进行身份验证。由于域控制器对用户进行了验证,这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现,在很多环境中,客户端也会配置为审计这些事件。 审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计,这些事件的示例如下: ·创建一个用户帐户 ·添加用户到一个组 ·重命名用户帐户 ·为用户帐户更改密码 对于域控制器而言,该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言,它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计,安全日志以及审计设置是不能捕捉的。 审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL 追踪用户访问情况)的用户有关的事件进行审计,AD对象的SACL指明了以下三件事: ·将会被追踪的帐户(通常是用户或者组)
windows系统日志与入侵检测详解 -电脑教程.txt我很想知道,多少人分开了,还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你!待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志:当人们出海远行地时候,总是要做好航海日志,以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在地系统入侵作出记录和预测,但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件,首先就要从它地特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等,都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下,可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现,你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个;若存在地话,将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了,包括日志文件?但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己地入侵踪迹,就必须对日志进行修改 . 最简单地方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己,网络上有很多专门进行此类 功能地程序,例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98,所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志,除非有特殊用途,例如,利用 Windows 98建立个人 Web服务器时,就会需要启用系统日志来作为服务器安全方面地参考,当已利用 Windows 98 建立个人 Web 服务器地用户,可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关地网络协议,并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮; (3>在“In ternet 服务管理员”页中单击“ WW管理”;
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 关闭135端口: 1. 单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。 2. 在弹出的“组件服务”对话框中,选择“计算机”选项。 3. 在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。 6. 单击“确定”按钮,设置完成,重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139,445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口: 本地连接—>Internet协议(TCP/IP)—>右击—>属性—>选择“TCP/IP”,单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘,甚至硬盘格式化。 关闭445端口: 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键,键值为0。 (4) 3389端口 远程桌面的服务端口,可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口: 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号,将系统内置的Administrator账号改名(越复杂越好,最好是中文的),设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
Windows2008系统安全设置 编写:技术支持李岩伟 1、密码设置复杂一些,例如:******** 2、更改administrator账户名称,例如:南关区社管服务器administrator更改为 *******,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名系统管理员---右键---属性---更改名称;
3、更改guest账户名称,例如更改为********,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名来宾帐户---右键---属性---更改名称; 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户,设置超长密码(例如:*********),并去掉所有用户组 更改描述:管理计算机(域)的内置帐户 5、更改远程桌面端口: 开始—运行:regedit,单击“确定”按钮后,打开注册表编辑窗口; 找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 然后找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 6、设置不显示最后的用户名,设置方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录:不显示最后的用户名---右键---属性---已启用---应用
一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
收稿日期:2008208220 基金项目:山东省自然科学基金(Y 2006G 20) 作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。 文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究 宁兴旺,刘培玉,孔祥霞 (山东师范大学信息科学与工程学院,山东济南250014) 摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律 是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现 Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用 模型。 关键词:主机日志;安全审计;计算机安全 中图分类号:TP393 文献标识码:A R esearch on Windows Log B ased Security Audit Technology Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia (School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China ) Abstract :An event log records s ome im portant events of an operating system or an application procedure. It is the primary purpose of a security audit to discover the required information and rules of an event by the analysis of a log.This paper discusses the central and global managment of windows system log files , em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a host log analysis based security audit universal m odel by the analysis of a windows log. K ey w ords :host log ;security audit ;com puter security 近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。 根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》 (T rusted C om puter System Evaluation Criteria ),安全审计可以理解为: 定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 衡量一个安全审计系统好坏的标准主要有以下几个方面: (1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷 第1期 2009年2月 山东科学SH ANDONG SCIE NCE V ol.22 N o.1Feb.2009
一、Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 登录类型2:交互式登录(Interactive) 这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 登录类型3:网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 登录类型4:批处理(Batch) 当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划
详述Windows 2000 系统日志及删除方法.txt两个人吵架,先说对不起的人,并不是认输了,并不是原谅了。他只是比对方更珍惜这份感情。Windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config, 默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%systemroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
CENTRAL SOUTH UNIVERSITY 操作系统安全实验报告 学生姓名 班级学号 指导教师 设计时间
《操作系统安全》实验一 ……Windows系统安全设置实验 一、实验目的 1、了解Windows操作系统的安全性 2、熟悉Windows操作系统的安全设置 3、熟悉MBSA的使用 二、实验要求 1、根据实验中的安全设置要求,详细观察并记录设置前后系统的变化,给出分析报告。 2、采用MBSA测试系统的安全性,并分析原因。 3、比较Windows系统的安全设置和Linux系统安全设置的异同。 三、实验内容人 1、配置本地安全设置,完成以下内容: (1)账户策略:包括密码策略(最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等)和账户锁定策略(锁定阈值、锁定时间、锁定计数等) A.账户锁定策略: 账户锁定阈值:指用户输入几次错误的密码后将用户账户锁定,默认为0,代表不锁定 账户锁定时间:指当用户账户被锁定后经过多长时间会自动解锁,0表示只有管理员才能受控解锁 复位账户锁定计数器:指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器复位为0. B.密码策略
(2)账户和口令的安全设置:检查和删除不必要的账户(User用户、Duplicate User用户、测试用户、共享用户等)、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户(用户名为Administrator、权限设置为最低)、不让系统显示上次登录的用户名。 A.创建用户: 控制面板----管理工具----计算机管理-----本地用户和组-----用户---创建用户B.修改用户权限: 控制面板---用户账户---管理其他账户---更改账户类型 C.禁止枚举账号: 禁止原因:枚举账号指某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口,然后通过共享会话猜测管理员系统密码,因此需要禁止枚举账号 方法:本地安全设置-“安全设置”-“本地策略”-“安全选项”-双击对匿名连接的额外限制-不允许枚举SAM账号和共享”
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
Evtsys--轻松将Windows日志转换为SYSLOG 们知道,无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉,如果您还不了解SYSLOG,请登录百度或Google查询。 很多时候,我们需要对日志进行集中化管理,如各种操作系统、网络设备、安全设备,甚至应用系统、业务系统等,但是不知道你注意看上文了没:Windows的应用、安全、系统日志怎么办? Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,如果我们想集中管理,怎么办?Windows操作系统本身并不支持把日志发送到SYSLOG服务器去 还好,我们有Evtsys。什么是Evtsys呢?如果你想下载Evtsys,请登录https://www.doczj.com/doc/f44070725.html,/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是,程序仅仅有几十KB大小! 下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行: evtsys.exe -i -h 192.168.1.101 -p 514 这个是标准格式,亦可精简为: evtsys -i -h 192.168.1.101 参数说明: i是安装成Window服务; h是syslog服务器地址; p是syslog服务器的接收端口。 默认下,端口可以省略,默认是514. 启动Evtsys服务,命令是: net start evtsys 查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。
以WINDOWS2000为例! Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至饔捌舳毙枰猰svcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent FTP和WWW日志详解: FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例: #Software: Microsoft Internet Information Services 5.0 (微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)0318 127.0.0.1 [1]PASS – 530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 [1]PASS – 530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)