Windows系統記錄檔分析

記錄檔，它記錄著Windows系統及其各種服務啟動並執行每個細節，對增強Windows的穩定和安全性，起著非常重要的作用。但許多使用者不注意對它保護，一些“不速之客”很輕易就將記錄檔清空，給系統帶來嚴重的安全隱患。　　一、什麼是記錄檔　　記錄檔是Windows系統中一個比較特殊的檔案，它記錄著Windows系統中所發生的一切，如各種系統服務的啟動、運行、關閉等資訊。Windows日誌包括應用程式、安全、系統等幾個部分，它的存放路徑是“%systemroot%system32config”，應用程式記錄檔、安全日誌和系統日誌對應的檔案名稱為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些檔案受到“Event Log（事件記錄）”服務的保護不能被刪除，但可以被清空。　　二、如何查看記錄檔　　在Windows系統中查看記錄檔很簡單。點擊“開始→設定→控制台→管理工具→事件檢視器”，在事件檢視器視窗左欄中列出本機包含的日誌類型，如應用程式、安全、系統等。查看某個日誌記錄也很簡單，在左欄中選中某個類型的日誌，如應用程式，接著在右欄中列出該類型日誌的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話方塊，顯示出該記錄的詳細資料，這樣我們就能準確的掌握系統中到底發生了什麼事情，是否影響Windows的正常運行，一旦出現問題，即時尋找排除。　　三、Windows記錄檔的保護　　記錄檔對我們如此重要，因此不能忽視對它的保護，防止發生某些“不法之徒”將記錄檔清洗一空的情況。　　1、修改記錄檔存放目錄　　Windows記錄檔預設路徑是“%systemroot%system32config”，我們可以通過修改註冊表來改變它的儲存目錄，來增強對日誌的保護。　　點擊“開始→運行”，在對話方塊中輸入“Regedit”，斷行符號後彈出登錄編輯程式，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”後，下面的Application、Security、System幾個子項分別對應應用程式記錄檔、安全日誌、系統日誌。　　以應用程式記錄檔為例，將其轉移到“d:cce”目錄下。選中Application子項（如圖），在右欄中找到File鍵，其索引值為應用程式記錄檔檔案的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:cceAppEvent.Evt”。接著在D盤建立“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，完成應用程式記錄檔檔案存放目錄的修改。其它類型記錄檔路徑修改方法相同，只是在不同的子項下操作。　　2． 設定檔案存取權限　　修改了記錄檔的存放目錄後，日誌還是可以被清空的，下面通過修改記錄檔存取權限，防止這種事情發生，前提是Windows系統要採用NTFS檔案系統格式。　　右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標籤頁後，首先取消“允許將來自父系的可繼承許可權傳播給該對象”選項勾選。接著在帳號列表框中選中“Everyone”帳號，只給它賦予“讀取”許可權；然後點擊“添加”按鈕，將“System”帳號添加到帳號列表框中，賦予除“完全控制”和“修改”以外的所有許可權，最後點擊“確定”按鈕。這樣當使用者清除Windows日誌時，就會彈出錯誤對話方塊。　　四、Windows日誌執行個體分析　　在Windows日誌中記錄了很多操作事件，為了方便使用者對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。　　1． 查看正常開關機記錄　　在Windows系統中，我們可以通過事件檢視器的系統日誌查看電腦的開、關機記錄，這是因為Log Service會隨電腦一起啟動或關閉，並在日誌中留下記錄。這裡我們要介紹兩個事件ID“6006和6005”。6005表示事件記錄服務已啟動，如果在事件檢視器中發現某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件記錄服務已停止，如果沒有在事件檢視器中發現某日的事件ID號為6006的事件，就表示電腦在這天沒有順利關機，可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。　　2． 查看DHCP配置警告資訊　　在規模較大的網路中，一般都是採用DHCP伺服器配置用戶端IP地址資訊，如果客戶機無法找到DHCP伺服器，就會自動使用一個內部的IP地址配置用戶端，並且在Windows日誌中產生一個事件ID號為1007的事件。如果使用者在日誌中發現該編號事件，說明該機器無法從DHCP伺服器獲得資訊，就要查看是該機器網路故障還是DHCP伺服器問題。　　五、WEB記錄檔分析　　以下列日誌記錄為例，進行分析：　　#Software: Microsoft Internet Information Services 6.0　　#Version: 1.0　　#Date: 2006-09-24 07:19:27　　#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /index.asp - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/css.css - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/1.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/home_top_new2.jpg - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0　　分析：　　date表示記錄訪問日期；　　time訪問時間；　　s-sitename表示你的虛擬機器主機的代稱。　　s-ip；服務端ip　　cs-method表示存取方法，常見的有兩種，一是GET，就是平常我們開啟一個URL訪問的動作，二是POST，提交表單時的動作；　　cs-uri-stem就是訪問哪一個檔案；　　cs-uri-query是指訪問地址的附帶參數，如asp檔案後面的字串id=12等等，如果沒有參數則用-表示；　　s-port 訪問的連接埠　　cs-username 訪問者名稱　　c-ip訪問者IP　　cs(User-Agent)訪問來源；　　sc-status狀態，200表示成功，403表示沒有許可權，404表示打不到該頁面，500表示程式有錯；　　sc-substatus 服務端傳送到用戶端的位元組大小；　　cs–win32-statu用戶端傳送到服務端的位元組大小；　　1**：請求收到，繼續處理　　2**：操作成功收到，分析、接受　　3**：完成此請求必須進一步處理　　4**：請求包含一個錯誤文法或不能完成　　5**：伺服器執行一個完全有效請求失敗　　100——客戶必須繼續發出請求　　101——客戶要求伺服器根據請求轉換HTTP協議版本　　200——交易成功　　201——提示知道新檔案的URL　　202——接受和處理、但處理未完成　　203——返回資訊不確定或不完整　　204——請求收到，但返回資訊為空白　　205——伺服器完成了請求，使用者代理程式必須複位當前已經瀏覽過的檔案　　206——伺服器已經完成了部分使用者的GET請求　　300——請求的資源可在多處得到　　301——刪除請求資料　　302——在其他地址發現了請求資料　　303——建議客戶訪問其他URL或訪問方式　　304——用戶端已經執行了GET，但檔案未變化　　305——請求的資源必須從伺服器指定的地址得到　　306——前一版本HTTP中使用的代碼，現行版本中不再使用　　307——申明請求的資源臨時性刪除　　400——錯誤請求，如語法錯誤　　401——請求授權失敗　　402——保留有效ChargeTo頭響應　　403——請求不允許　　404——沒有發現檔案、查詢或URl　　405——使用者在Request-Line欄位定義的方法不允許　　406——根據使用者發送的Accept拖，請求資源不可訪問　　407——類似401，使用者必須首先在Proxy 伺服器上得到授權　　408——用戶端沒有在使用者指定的餓時間內完成請求　　409——對當前資源狀態，請求不能完成　　410——伺服器上不再有此資源且無進一步的參考地址　　411——伺服器拒絕使用者定義的Content-Length屬性請求　　412——一個或多個要求標頭欄位在當前請求中錯誤　　413——請求的資源大於伺服器允許的大小　　414——請求的資源URL長於伺服器允許的長度　　415——請求資源不支援要求項目格式　　416——請求中包含Range要求標頭欄位，在當前請求資源範圍內沒有range指示值，請求也不包含If-Range要求標頭欄位　　417——伺服器不滿足請求Expect頭欄位指定的期望值，如果是Proxy 伺服器，可能是下一級伺服器不能滿足請求　　500——伺服器產生內部錯誤　　501——伺服器不支援要求的函數　　502——伺服器暫時不可用，有時是為了防止發生系統過載　　503——伺服器過載或暫停維修　　504——關口過載，伺服器使用另一個關口或服務來響應使用者，等待時間設定值較長　　505——伺服器不支援或拒絕支要求標頭中指定的HTTP版本　　FTP日誌分析　　FTP日誌和WWW日誌在預設情況下，每天產生一個記錄檔，包含了該日的一切記錄，檔案名稱通常為ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日產生的日誌，用記事本可直接開啟，普通的有入侵行為的日誌一般是這樣的：　　#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）　　#Version: 1.0 （版本1.0）　　#Date: 20040419 0315 （服務啟動時間日期）　　#Fields: time cip csmethod csuristem scstatus　　0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1使用者名稱為administator試圖登入）　　0318 127.0.0.1 [1]PASS – 530（登入失敗）　　032:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1使用者名稱為nt的使用者試圖登入）　　032:06 127.0.0.1 [1]PASS – 530（登入失敗）　　032:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1使用者名稱為cyz的使用者試圖登入）　　0322 127.0.0.1 [1]PASS – 530（登入失敗）　　0322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1使用者名稱為administrator試圖登入）　　0324 127.0.0.1 [1]PASS – 230（登入成功）　　0321 127.0.0.1 [1]MKD nt 550（建立目錄失敗）　　0325 127.0.0.1 [1]QUIT – 550（退出FTP程式）　　從日誌裡就能看出IP地址為127.0.0.1的使用者一直試圖登入系統，換了四次使用者名稱和密碼才成功，管理員立即就可以得知這個ＩＰ至少有入侵企圖。而他的入侵時間、IP地址以及探測的使用者名稱都很清楚的記錄在日誌上。如上例入侵者最終是用Administrator使用者名稱進入的，那麼就要考慮此使用者名稱是不是密碼失竊。還是被別人利用。接下來就要想想系統出什麼問題了。