Windows記錄檔完全全解讀
文章錄入:7747.Net 責任編輯:7747.Net 56
【字型:小 大】
From: http://blog.cfan.com.cn/
記錄檔,它記錄著Windows系統及其各種服務啟動並執行每個細節,對增強Windows的穩定和安全性,起著非常重要的作用。但許多使用者不注意對它保護,一些“不速之客”很輕易就將記錄檔清空,給系統帶來嚴重的安全隱患。
一、什麼是記錄檔
記錄檔是Windows系統中一個比較特殊的檔案,它記錄著Windows系統中所發生的一切,如各種系統服務的啟動、運行、關閉等資訊。 Windows日誌包括應用程式、安全、系統等幾個部分,它的存放路徑是“%systemroot%system32config”,應用程式記錄檔、安全日誌和系統日誌對應的檔案名稱為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些檔案受到“Event Log(事件記錄)”服務的保護不能被刪除,但可以被清空。
二、如何查看記錄檔
在Windows系統中查看記錄檔很簡單。點擊“開始→設定→控制台→管理工具→事件檢視器”,在事件檢視器視窗左欄中列出本機包含的日誌類型,如應用程式、安全、系統等。查看某個日誌記錄也很簡單,在左欄中選中某個類型的日誌,如應用程式,接著在右欄中列出該類型日誌的所有記錄,雙擊其中某個記錄,彈出“事件屬性”對話方塊,顯示出該記錄的詳細資料,這樣我們就能準確的掌握系統中到底發生了什麼事情,是否影響Windows的正常運行,一旦出現問題,即時尋找排除。
三、Windows記錄檔的保護
記錄檔對我們如此重要,因此不能忽視對它的保護,防止發生某些“不法之徒”將記錄檔清洗一空的情況。
1. 修改記錄檔存放目錄
Windows記錄檔預設路徑是“%systemroot%system32config”,我們可以通過修改註冊表來改變它的儲存目錄,來增強對日誌的保護。
點擊“開始→運行”,在對話方塊中輸入“Regedit”,斷行符號後彈出登錄編輯程式,依次展開 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”後,下面的 Application、Security、System幾個子項分別對應應用程式記錄檔、安全日誌、系統日誌。
筆者以應用程式記錄檔為例,將其轉移到“d:\cce”目錄下。選中Application子項,在右欄中找到File鍵,其索引值為應用程式記錄檔檔案的路徑“%SystemRoot%system32configAppEvent.Evt”,將它修改為“d:cceAppEvent.Evt”。接著在D 盤建立“CCE”目錄,將“AppEvent.Evt”拷貝到該目錄下,重新啟動系統,完成應用程式記錄檔檔案存放目錄的修改。其它類型記錄檔路徑修改方法相同,只是在不同的子項下操作。
2. 設定檔案存取權限
修改了記錄檔的存放目錄後,日誌還是可以被清空的,下面通過修改記錄檔存取權限,防止這種事情發生,前提是Windows系統要採用NTFS檔案系統格式。
右鍵點擊D盤的CCE目錄,選擇“屬性”,切換到“安全”標籤頁後,首先取消“允許將來自父系的可繼承許可權傳播給該對象”選項勾選。接著在帳號列表框中選中“Everyone”帳號,只給它賦予“讀取”許可權;然後點擊“添加”按鈕,將“System”帳號添加到帳號列表框中,賦予除“完全控制”和“修改”以外的所有許可權,最後點擊“確定”按鈕。這樣當使用者清除Windows日誌時,就會彈出錯誤對話方塊。
四、Windows日誌執行個體分析
在Windows日誌中記錄了很多操作事件,為了方便使用者對它們的管理,每種類型的事件都賦予了一個惟一的編號,這就是事件ID。
1. 查看正常開關機記錄
在Windows系統中,我們可以通過事件檢視器的系統日誌查看電腦的開、關機記錄,這是因為Log Service會隨電腦一起啟動或關閉,並在日誌中留下記錄。這裡我們要介紹兩個事件ID“6006和6005”。6005表示事件記錄服務已啟動,如果在事件檢視器中發現某日的事件ID號為6005的事件,就說明在這天正常啟動了Windows系統。6006表示事件記錄服務已停止,如果沒有在事件檢視器中發現某日的事件ID號為6006的事件,就表示電腦在這天沒有順利關機,可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。
2. 查看DHCP配置警告資訊
在規模較大的網路中,一般都是採用DHCP伺服器配置用戶端IP地址資訊,如果客戶機無法找到DHCP伺服器,就會自動使用一個內部的IP地址配置用戶端,並且在Windows日誌中產生一個事件ID號為1007的事件。如果使用者在日誌中發現該編號事件,說明該機器無法從DHCP伺服器獲得資訊,就要查看是該機器網路故障還是DHCP伺服器問題。
本文來自CSDN部落格,轉載請標明出處:http://blog.csdn.net/cnbird2008/archive/2009/08/20/4466825.aspx
摘自紅色駭客聯盟(http://www.7747.net/) 原文:http://www.7747.net/Article/200908/40969.html