文档介绍:审核与日志一、训练目标 1、能设置操作系统审核 2、会查看操作系统日志 3、能性能日志与警报监视系统运行情况二、实训环境要求安装 XP 或 Windows Server 2003 计算机三、实训内容日志什么是日志文件?它是一些文件系统集合,依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时,数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防,日志的重要性由此可见。( 1) 日志文件的位置 Windows 2000 的系统日志文件有应用程序日志,安全日志、系统日志、 DNS 服务器日志等等, 应用程序日志、安全日志、系统日志、 DNS 日志默认位置: %systemroot%system32config 。安全日志文件: %systemroot% 系统日志文件: %systemroot% 应用程序日志文件: %systemroot% 有的管理员很可能将这些日志重定位(所以日志可能不在上面那些位置)。( 2) 清除自己电脑中的日志如果你要清除自己电脑中的日志,可以用管理员的身份来登录 Windows ,然后在“控制面板”中进入“管理工具”,再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了,里面有应用程序、安全和系统日志文件。举个例子,比方说你想清除安全日志,可以右键点击“安全日志”,在弹出的菜单中选择“属性”。接下来在弹出的对话框中,点击下面“清除日志”按钮就可以清除了,如果你想以后再来清除这些日志的话,可以将“按需要改写尺寸”,这样就可以在达到最大日志尺寸时进行改写事件了,不会提示你清除日志。(2)清除远程主机中的日志获取远程主机的超级用户密码使用空连接,用超级用户 administrator 用户登录系统: C:\>net use \\\IPC$ ""/user:"admintitrators" 开启远程主机的 服务使用 \\远程主机的 IP登录远程主机 del c:windows \system32 \config \*.evt del c:windows \system32 \*.log del c:windows \*.log (4 )移动日志文件的位置为了防止日志文件不被外人随意访问,我们必须让日志文件挪移到一个其他人根本无法找到的地方,例如可以在 D:分区下新建一个 AAA 的目录。正式挪移日志文件,将对应的日志文件从原始位置直接复制到新目录位置 AAA 修改注册表做好系统与日志文件的关联,打开注册表编辑窗口;依次展开“ HKEY_LOCAL_MACHINE ”” system ”“ cur r en controlset ”“ services ”“ eventlog ”,在“ eventlog ”项目下看到” system ”“ security ”” application ”这三个子项。在对应的” system ”注册表项