Windows 2000日誌及其刪除方法

Windows 2000的記錄檔通常有應用程式記錄檔，安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等，可能會根據伺服器所開啟的服務不同。當我們用流光探測時，比如說IPC探測，就會在安全日誌裡迅速地記下流光探測時所用的使用者名稱、時間等等，用FTP探測後，也會立刻在FTP日誌中記下IP、時間、探測所用的使用者名稱和密碼等等。甚至連流影啟動時需要msvcp60.dll這個動庫連結庫，如果伺服器沒有這個檔案都會在日誌裡記錄下來，這就是為什麼不要拿國內主機探測的原因了，他們記下你的IP後會很容易地找到你，只要他想找你！！還有Scheduler日誌這也是個重要的LOG，你應該知道經常使用的srv.exe就是通過這個服務來啟動的，其記錄著所有由Scheduler服務啟動的所有行為，如服務的啟動和停止。

記錄檔預設位置：

應用程式記錄檔、安全日誌、系統日誌、DNS日誌預設位置：%systemroot%\system32\config，預設檔案大小512KB，管理員都會改變這個預設大小。

安全記錄檔：%systemroot%\system32\config\SecEvent.EVT
系統記錄檔：%systemroot%\system32\config\SysEvent.EVT
應用程式記錄檔檔案：%systemroot%\system32\config\AppEvent.EVT
Internet資訊服務FTP日誌預設位置：%systemroot%\system32\logfiles\msftpsvc1\，預設每天一個日誌
Internet資訊服務WWW日誌預設位置：%systemroot%\system32\logfiles\w3svc1\，預設每天一個日誌
Scheduler服務日誌預設位置：%systemroot%\schedlgu.txt

以上日誌在註冊表裡的鍵：

應用程式記錄檔，安全日誌，系統日誌，DNS伺服器日誌，它們這些LOG檔案在註冊表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表，裡面可查到以上日誌的定位目錄。

Schedluler服務日誌在註冊表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

FTP和WWW日誌詳解：

FTP日誌和WWW日誌預設情況，每天產生一個記錄檔，包含了該日的一切記錄，檔案名稱通常為ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日產生的日誌，用記事本就可直接開啟，如下例：

#Software: Microsoft Internet Information Services 5.0　（微軟IIS5.0）
#Version: 1.0 （版本1.0）
#Date: 20001023 0315 （服務啟動時間日期）
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331　（IP地址為127.0.0.1使用者名稱為administator試圖登入）
0318 127.0.0.1 [1]PASS – 530　（登入失敗）
032:04 127.0.0.1 [1]USER nt 331　（IP地址為127.0.0.1使用者名稱為nt的使用者試圖登入）
032:06 127.0.0.1 [1]PASS – 530　（登入失敗）
032:09 127.0.0.1 [1]USER cyz 331　（IP地址為127.0.0.1使用者名稱為cyz的使用者試圖登入）
0322 127.0.0.1 [1]PASS – 530　（登入失敗）
0322 127.0.0.1 [1]USER administrator 331　（IP地址為127.0.0.1使用者名稱為administrator試圖登入）
0324 127.0.0.1 [1]PASS – 230　（登入成功）
0321 127.0.0.1 [1]MKD nt 550　（建立目錄失敗）
0325 127.0.0.1 [1]QUIT – 550　（退出FTP程式）

從日誌裡就能看出IP地址為127.0.0.1的使用者一直試圖登入系統，換了四次使用者名稱和密碼才成功，管理員立即就可以得知管理員的入侵時間、IP地址以及探測的使用者名稱，如上例入侵者最終是用administrator使用者名稱進入的，那麼就要考慮更換此使用者名稱的密碼，或者重新命名administrator使用者。

WWW日誌

WWW服務同FTP服務一樣，產生的日誌也是在%systemroot%\System32\LogFiles\W3SVC1目錄下，預設是每天一個記錄檔，下面是一個典型的WWW記錄檔

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20001023 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

通過分析第六行，可以看出2000年10月23日，IP地址為192.168.1.26的使用者通過訪問IP地址為192.168.1.37機器的80連接埠，查看了一個頁面iisstart.asp,這位使用者的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經驗的管理員就可通過安全日誌、FTP日誌和WWW日誌來確定入侵者的IP地址以及入侵時間。

既使你刪掉FTP和WWW日誌，但是還是會在系統日誌和安全日誌裡記錄下來，但是較好的是只顯示了你的機器名，並沒有你的IP，例如上面幾個探測之後，系統日誌將會產生下面的記錄：一眼就能看出2000年10月23日，16點17分，系統因為某些事件出現警告，雙擊頭一個，開啟它的屬性：

屬性裡記錄了出現警告的原因，是因為有人試圖用administator使用者名稱登入，出現一個錯誤，來源是FTP服務。同時安全記錄裡寫將同時記下,我們可以看到兩種表徵圖：鑰匙（表示成功）和鎖（表示當使用者在做什麼時被系統停止）。接連四個鎖表徵圖，表示四次失敗審核，事件類型是帳戶登入和登入、登出失敗，日期為2000年10月18日，時間為1002，這就需要重點觀察。

雙點第一個失敗審核事件的，即得到此事件的詳細描述，我們可以得知有個CYZ的工作站，用administator使用者名稱登入本機，但是因為使用者名稱未知或密碼錯誤（實際為密碼錯誤）未能成功。

另外還有DNS伺服器日誌，不太重要，就此略過（其實是我沒有看過它）

知道了Windows2000日誌的詳細情況，下面就要學會怎樣刪除這些日誌：

通過上面，得知記錄檔通常有某項服務在後台保護，除了系統日誌、安全日誌、應用程式記錄檔等等，它們的服務是Windos2000的關鍵進程，而且與註冊表檔案在一塊，當Windows2000啟動後，啟動服務來保護這些檔案，所以很難刪除，而FTP日誌和WWW日誌以及Scedlgu日誌都是可以輕易地刪除的。