Windows 2000的日志文件通常有應(yīng)用程序日志 ， 安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等 ， 可能會根據(jù)服務(wù)器所開啟的服務(wù)不同 。當(dāng)我們用流光探測時(shí) ， 比如說IPC探測 ， 就會在安全日志里迅速地記下流光探測時(shí)所用的用戶名、時(shí)間等等 ， 用FTP探測后 ， 也會立刻在FTP日志中記下IP、時(shí)間、探測所用的用戶名和密碼等等 。甚至連流影啟動(dòng)時(shí)需要msvcp60.dll這個(gè)動(dòng)庫鏈接庫 ， 如果服務(wù)器沒有這個(gè)文件都會在日志里記錄下來 ， 這就是為什么不要拿國內(nèi)主機(jī)探測的原因了 ， 他們記下你的IP后會很容易地找到你 ， 只要他想找你?。∵€有Scheduler日志這也是個(gè)重要的LOG ， 你應(yīng)該知道經(jīng)常使用的srv.exe就是通過這個(gè)服務(wù)來啟動(dòng)的 ， 其記錄著所有由Scheduler服務(wù)啟動(dòng)的所有行為 ， 如服務(wù)的啟動(dòng)和停止 。
日志文件默認(rèn)位置：
應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%system32config ， 默認(rèn)文件大小512KB ， 管理員都會改變這個(gè)默認(rèn)大小 。
安全日志文件：%systemroot%system32configSecEvent.EVT
系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT
應(yīng)用程序日志文件：%systemroot%system32configAppEvent.EVT
Internet信息服務(wù)FTP日志默認(rèn)位置：%systemroot%system32logfilesmsftpsvc1 ， 默認(rèn)每天一個(gè)日志
Internet信息服務(wù)WWW日志默認(rèn)位置：%systemroot%system32logfilesw3svc1 ， 默認(rèn)每天一個(gè)日志
Scheduler服務(wù)日志默認(rèn)位置：%systemroot%schedlgu.txt
以上日志在注冊表里的鍵：
應(yīng)用程序日志 ， 安全日志 ， 系統(tǒng)日志 ， DNS服務(wù)器日志 ， 它們這些LOG文件在注冊表中的：
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog
有的管理員很可能將這些日志重定位 。其中EVENTLOG下面有很多的子表 ， 里面可查到以上日志的定位目錄 。
Schedluler服務(wù)日志在注冊表中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
FTP和WWW日志詳解：
FTP日志和WWW日志默認(rèn)情況 ， 每天生成一個(gè)日志文件 ， 包含了該日的一切記錄 ， 文件名通常為ex（年份）（月份）（日期） ， 例如ex001023 ， 就是2000年10月23日產(chǎn)生的日志 ， 用記事本就可直接打開 ， 如下例：
#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）
#Version: 1.0 （版本1.0）
#Date: 20001023 0315 （服務(wù)啟動(dòng)時(shí)間日期）
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331?。↖P地址為127.0.0.1用戶名為administator試圖登錄）
0318 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?
032:04 127.0.0.1 [1]USER nt 331?。↖P地址為127.0.0.1用戶名為nt的用戶試圖登錄）
032:06 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?
032:09 127.0.0.1 [1]USER cyz 331?。↖P地址為127.0.0.1用戶名為cyz的用戶試圖登錄）
0322 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?
0322 127.0.0.1 [1]USER administrator 331?。↖P地址為127.0.0.1用戶名為administrator試圖登錄）
0324 127.0.0.1 [1]PASS – 230?。ǖ卿洺晒Γ?
0321 127.0.0.1 [1]MKD nt 550　（新建目錄失?。?
0325 127.0.0.1 [1]QUIT – 550?。ㄍ顺鯢TP程序）
從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng) ， 換了四次用戶名和密碼才成功 ， 管理員立即就可以得知管理員的入侵時(shí)間、IP地址以及探測的用戶名 ， 如上例入侵者最終是用administrator用戶名進(jìn)入的 ， 那么就要考慮更換此用戶名的密碼 ， 或者重命名administrator用戶 。
WWW日志
WWW服務(wù)同F(xiàn)TP服務(wù)一樣 ， 產(chǎn)生的日志也是在%systemroot%System32LogFilesW3SVC1目錄下 ， 默認(rèn)是每天一個(gè)日志文件 ， 下面是一個(gè)典型的WWW日志文件
#Software: Microsoft Internet Information Services 5.0

推薦閱讀

• 

  描寫蘇州的詩句
• 

  榴蓮一般怎么存放
• 

  為什么收環(huán)保費(fèi)
• 

  銀監(jiān)局是什么單位
• 

  什么人適合喝覆盆子茶 吃覆盆子茶的好處有哪些
• 

  不銹鋼水杯放檸檬可以嗎 不銹鋼水杯放檸檬可以嗎嗎
• 

  靈芝怎么保存 靈芝的保存方法
• 

  pos表示什么意思
• 

  手機(jī)上恢復(fù)解散QQ群步驟
• 

  為什么叫日寇
• 

  如何評價(jià)99元無限流量卡 聯(lián)通99元無限流量卡限速
• 

  真武傳什么職業(yè)好玩,天涯明月刀真武連招
• 

  端午節(jié)簡單又漂亮圖畫，端午節(jié)應(yīng)該怎么畫
• 

  蘋果下載什么軟件可以設(shè)置鈴聲 蘋果手機(jī)鈴聲設(shè)置下載什么軟件
• 

  iPhone13為什么投屏不了
• 

  砂紙和砂布的使用及有規(guī)格

• 輕松取消Windows 2000默認(rèn)共享
• 淺析Windows 2000操作系統(tǒng)中的關(guān)機(jī)技巧
• 更改Windows 2000系統(tǒng)收藏夾位置的方法
• Windows操作系統(tǒng)的十則高級應(yīng)用技巧
• 關(guān)于windows 2000各種服務(wù)的簡要說明
• Windows 2000操作系統(tǒng)內(nèi)存優(yōu)化全攻略
• 讓W(xué)indows 2000服務(wù)運(yùn)行得更好
• 上 Windows 2000操作技巧完全手冊
• Windows 2000系統(tǒng)下關(guān)閉端口的方法與思路
• Windows2000系統(tǒng)如何找回丟失的管理員密碼