Windows日志及其保护

网络整理 - 07-27
日志文件(log)记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。如果不注意对它保护,被人将日志文件清空或篡改,会给系统带来严重的安全隐患。
日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。
Windows系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB。
  安全日志文件:%systemroot%\system32\config\SecEvent.EVT
  系统日志文件:%systemroot%\system32\config\SysEvent.EVT
  应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
[查看日志文件的方法]
  在Windows系统中查看日志文件很简单。点击“开始-设置-控制面板-管理工具-事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。
[日志的安全配置]
1.修改日志文件存放目录 
  Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
  在注册表编辑器中,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。可以把它们重定位,放到其它目录中。
2.日志文件的大小
  默认的条件下,日志的大小为512KB大小,如果超出则会报错,并且不会再记录任何日志。所以首要任务是更改默认大小,具体方法:注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统,安全,应用程序等均有一个maxsize子键,修改即可。
[日志的查询与备份]
  一个优秀的管理员是应该养成备份日志的习惯,如果有条件的话还应该把日志转存到备份机器上或直接转储到打印机上,可以使用微软的resourceKit工具箱中的dumpel.exe,他的常用方法:
  dumpel -f filename -s \\server -l log 
  -f filename 输出日志的位置和文件名
  -s \\server 输出远程计算机日志
  -l log log 可选的为system,security,application,可能还有别的如DNS等.
  如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
  dumpel \\server -l system -f backupsystem.log 
  再利用计划任务可以实现定期备份系统日志。