Windows 2000的日志文件通常有應用程序日志，安全日志、系統(tǒng)日志、DNS服務器日志、FTP日志、WWW日志等等，可能會根據(jù)服務器所開啟的服務不同 。當我們用流光探測時，比如說IPC探測，就會在安全日志里迅速地記下流光探測時所用的用戶名、時間等等，用FTP探測后，也會立刻在FTP日志中記下IP、時間、探測所用的用戶名和密碼等等 。甚至連流影啟動時需要msvcp60.dll 這個動庫鏈接庫，如果服務器沒有這個文件都會在日志里記錄下來，這就是為什么不要拿國內主機探測的原因了，他們記下你的IP后會很容易地找到你，只要他想找你！！還有Scheduler日志這也是個重要的LOG，你應該知道經(jīng)常使用的srv.exe就是通過這個服務來啟動的，其記錄著所有由 Scheduler服務啟動的所有行為，如服務的啟動和停止 。日志文件默認位置：
應用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置：%systemroot%system32config，默認文件大小512KB，管理員都會改變這個默認大小 。
安全日志文件：%systemroot%system32configSecEvent.EVT
系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT
應用程序日志文件：%systemroot%system32configAppEvent.EVT
Internet信息服務FTP日志默認位置：%systemroot%system32logfilesmsftpsvc1，默認每天一個日志
Internet信息服務WWW日志默認位置：%systemroot%system32logfilesw3svc1，默認每天一個日志
Scheduler服務日志默認位置：%systemroot%schedlgu.txt
以上日志在注冊表里的鍵：
應用程序日志，安全日志，系統(tǒng)日志，DNS服務器日志，它們這些LOG文件在注冊表中的：
HKEY_LOCAL_MacHINESystemCurrentControlSetServicesEventlog
有的管理員很可能將這些日志重定位 。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄 。
Schedluler服務日志在注冊表中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

FTP和WWW日志詳解：FTP日志和WWW日志默認情況，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日產(chǎn)生的日志，用記事本就可直接打開，如下例：
#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）
#Version: 1.0 （版本1.0）
#Date: 20001023 0315 （服務啟動時間日期）
#FIElds: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331　（IP地址為127.0.0.1用戶名為administator試圖登錄）
0318 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?br>032:04 127.0.0.1 [1]USER nt 331?。↖P地址為127.0.0.1用戶名為nt的用戶試圖登錄）
032:06 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?br>032:09 127.0.0.1 [1]USER cyz 331?。↖P地址為127.0.0.1用戶名為cyz的用戶試圖登錄）
0322 127.0.0.1 [1]PASS – 530?。ǖ卿浭。?br>0322 127.0.0.1 [1]USER administrator 331?。↖P地址為127.0.0.1用戶名為administrator試圖登錄）
0324 127.0.0.1 [1]PASS – 230?。ǖ卿洺晒Γ?br>0321 127.0.0.1 [1]MKD nt 550?。ㄐ陆夸浭。?br>0325 127.0.0.1 [1]QUIT – 550　（退出FTP程序）
從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間、 IP地址以及探測的用戶名，如上例入侵者最終是用administrator用戶名進入的，那么就要考慮更換此用戶名的密碼，或者重命名 administrator用戶 。
WWW日志
WWW服務同F(xiàn)TP服務一樣，產(chǎn)生的日志也是在%systemroot%System32LogFilesW3SVC1目錄下，默認是每天一個日志文件，下面是一個典型的WWW日志文件
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20001023 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

推薦閱讀

• 

  95134是哪個銀行電話
• 

  夢見朋友掉了兩顆牙 夢見朋友掉了兩顆牙什么意思
• 

  趙麗穎朱梓驍演的古裝劇 趙麗穎朱梓驍演的古裝劇名字
• 

  干豆腐金針菇的美味做法
• 

  對于M330機身耗電的分析
• 

  油燜冬筍正宗做法 油燜冬筍怎么做？
• 

  二層紗有什么特點
• 

  電鍍金剛石砂輪 電鍍金剛石砂輪和樹脂金剛石砂輪
• 

  云石神仙魚好養(yǎng)嗎視頻
• 

  合肥包拯的墓是真的嗎
• 

  w7系統(tǒng)安裝教程圖解
• 

  尼克服和派克服哪個更保暖
• 

  Mac錄屏軟件推薦,蘋果手機錄屏軟件
• 

  浙江省教師招聘考試網(wǎng)，應屆畢業(yè)生戶籍所在地是安徽省能在浙江省報考教師資格證考試嗎
• 

  我來教你準了APP怎么改出生日期。
• 

  保障成本表怎么看 月度保障成本怎么計算

• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 第五章
• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 2
• win7電腦修改hosts文件屏蔽網(wǎng)站操作步驟
• 在Windows NT域和Windows 2000域之間建立信任關系
• 移花接木 解決Windows 2000無法啟動的問題
• 使用命令行參數(shù)為系統(tǒng)打補丁
• 克隆windows 2000管理員帳號
• win7電腦語言欄進行設置圖文操作步驟
• Windows 2000 優(yōu)化完全攻略
• Win2000模塊解析工具