Windows 2000的日志文件通常有應(yīng)用程序日志 ， 安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等 ， 可能會(huì)根據(jù)服務(wù)器所開(kāi)啟的服務(wù)不同 。當(dāng)我們用流光探測(cè)時(shí) ， 比如說(shuō)IPC探測(cè) ， 就會(huì)在安全日志里迅速地記下流光探測(cè)時(shí)所用的用戶名、時(shí)間等等 ， 用FTP探測(cè)后 ， 也會(huì)立刻在FTP日志中記下IP、時(shí)間、探測(cè)所用的用戶名和密碼等等 。甚至連流影啟動(dòng)時(shí)需要msvcp60.dll這個(gè)動(dòng)庫(kù)鏈接庫(kù) ， 如果服務(wù)器沒(méi)有這個(gè)文件都會(huì)在日志里記錄下來(lái) ， 這就是為什么不要拿國(guó)內(nèi)主機(jī)探測(cè)的原因了 ， 他們記下你的IP后會(huì)很容易地找到你 ， 只要他想找你??！還有Scheduler日志這也是個(gè)重要的LOG ， 你應(yīng)該知道經(jīng)常使用的srv.exe就是通過(guò)這個(gè)服務(wù)來(lái)啟動(dòng)的 ， 其記錄著所有由Scheduler服務(wù)啟動(dòng)的所有行為 ， 如服務(wù)的啟動(dòng)和停止 。

日志文件默認(rèn)位置：

應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認(rèn)位置：%systemroot%system32config ， 默認(rèn)文件大小512KB ， 管理員都會(huì)改變這個(gè)默認(rèn)大小 。

安全日志文件：%systemroot%system32configSecEvent.EVT

系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT

應(yīng)用程序日志文件：%systemroot%system32configAppEvent.EVT

Internet信息服務(wù)FTP日志默認(rèn)位置：%systemroot%system32logfilesmsftpsvc1 ， 默認(rèn)每天一個(gè)日志

Internet信息服務(wù)WWW日志默認(rèn)位置：%systemroot%system32logfilesw3svc1 ， 默認(rèn)每天一個(gè)日志

Scheduler服務(wù)日志默認(rèn)位置：%systemroot%schedlgu.txt

以上日志在注冊(cè)表里的鍵：

應(yīng)用程序日志 ， 安全日志 ， 系統(tǒng)日志 ， DNS服務(wù)器日志 ， 它們這些LOG文件在注冊(cè)表中的：

HKEY_LOCAL_MacHINESystemCurrentControlSetServicesEventlog

有的管理員很可能將這些日志重定位 。其中EVENTLOG下面有很多的子表 ， 里面可查到以上日志的定位目錄 。

Schedluler服務(wù)日志在注冊(cè)表中

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent


FTP和WWW日志詳解：

FTP日志和WWW日志默認(rèn)情況 ， 每天生成一個(gè)日志文件 ， 包含了該日的一切記錄 ， 文件名通常為ex(年份)(月份)(日期) ， 例如ex001023 ， 就是2000年10月23日產(chǎn)生的日志 ， 用記事本就可直接打開(kāi) ， 如下例：

#Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)

#Version: 1.0 (版本1.0)

#Date: 20001023 0315 (服務(wù)啟動(dòng)時(shí)間日期)

#FIElds: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331　(IP地址為127.0.0.1用戶名為administator試圖登錄)

0318 127.0.0.1 [1]PASS – 530　(登錄失敗)

032:04 127.0.0.1 [1]USER nt 331　(IP地址為127.0.0.1用戶名為nt的用戶試圖登錄)

032:06 127.0.0.1 [1]PASS – 530　(登錄失敗)

032:09 127.0.0.1 [1]USER cyz 331　(IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄)

0322 127.0.0.1 [1]PASS – 530　(登錄失敗)

0322 127.0.0.1 [1]USER administrator 331　(IP地址為127.0.0.1用戶名為administrator試圖登錄)

0324 127.0.0.1 [1]PASS – 230　(登錄成功)

0321 127.0.0.1 [1]MKD nt 550　(新建目錄失敗)

0325 127.0.0.1 [1]QUIT – 550　(退出FTP程序)

從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統(tǒng) ， 換了四次用戶名和密碼才成功 ， 管理員立即就可以得知管理員的入侵時(shí)間、IP地址以及探測(cè)的用戶名 ， 如上例入侵者最終是用administrator用戶名進(jìn)入的 ， 那么就要考慮更換此用戶名的密碼 ， 或者重命名administrator用戶 。

WWW日志：

WWW服務(wù)同F(xiàn)TP服務(wù)一樣 ， 產(chǎn)生的日志也是在%systemroot%System32LogFilesW3SVC1目錄下 ， 默認(rèn)是每天一個(gè)日志文件 ， 下面是一個(gè)典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0

推薦閱讀

• 

  發(fā)動(dòng)機(jī)水箱價(jià)格是多少?
• 

  大眾SUV新車(chē)上市車(chē)型有哪些 大眾suv車(chē)型新款上市
• 

  乒乓菊是四季開(kāi)花嗎 乒乓菊是四季開(kāi)花嗎
• 

  開(kāi)水的功效與作用 喝開(kāi)水的好處
• 

  win7電腦中打開(kāi)休眠功能詳細(xì)操作方法
• 

  曬干的魔鬼魚(yú)的做法 曬干的魔鬼魚(yú)的做法大全
• 

  職場(chǎng)女性如何施展才華
• 

  月經(jīng)推遲跟性生活有關(guān)系嗎 當(dāng)然有而且有很大的關(guān)系
• 

  安徽醫(yī)科大學(xué)附屬巢湖醫(yī)院核酸檢測(cè)指南
• 

  紅油排骨鍋的做法有哪些
• 

  報(bào)廢客車(chē)怎么買(mǎi)新車(chē)險(xiǎn)的呢 報(bào)廢客車(chē)怎么買(mǎi)新車(chē)險(xiǎn)的
• 

  什么是天貓盒子？
• 

  寶駿360自動(dòng)擋耐用嗎 – 寶駿360自動(dòng)擋怎么開(kāi)
• 

  潮汕去高鐵時(shí)刻表查詢，潮汕到宿州高鐵時(shí)刻表查詢
• 

  四年級(jí)軍訓(xùn)作文
• 

  產(chǎn)后便秘怎么調(diào)理四個(gè)妙招能應(yīng)對(duì) 產(chǎn)后便秘怎么辦什么方法最有效 解決產(chǎn)后便秘小妙招

• Windows 2000 安全
• 詳述Win 2000日志及其刪除方法
• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 第五章
• 1 《Undocumented Windows 2000 Secrets》翻譯 --- 2
• 在Windows NT域和Windows 2000域之間建立信任關(guān)系
• 移花接木 解決Windows 2000無(wú)法啟動(dòng)的問(wèn)題
• 使用命令行參數(shù)為系統(tǒng)打補(bǔ)丁
• 克隆windows 2000管理員帳號(hào)
• Windows 2000 優(yōu)化完全攻略
• Win2000模塊解析工具