Windows日志的保护、备份及发送.pdfVIP

Windows日志的保护、备份及发送 Windows日志的保护、备份及发送 作者:netff netff@21 站点: windows日志文件作为系统的重要组成部分,记录着系统各项服务的各个细节(包括启 动、运行、关闭等各种信息)它对系统的稳定性、可靠性仍至安全性等等,都起到了举足轻 重的作用。一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明 的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。我想;一个重要的服务器,再怎 么强调日志文件的重要性都不为过。 然而,我们听到很多人在服务器被入侵后,日志文件被清洗一空,或者留下一大推无用 的信息等你去慢慢看。 :( 好了,不说废话了,如果你打算保护你的日志而又找不到好的方法,那就来看看我是怎 么样保护系统的日志文件的。 一、日志文件移位 我们知道,系统安装完成后,日志文件存放在%systemroot%\system32\config,有“应用 程序日志”、“安全日志”及“系统日志”,分别对应的文件是:appevent.evt、secevent.evt、 sysevent.evt如果你装有其他的服务,如 DNS等,还有对应的日志。这些文件受 event log服 务的保护而不可删除,但却可以清空里面的数据。GUI下清除日志的相信大家都知道可以通 过“事件查看器”来清除日志,而“命令提示符”下清除日志的工具也很多,常用的工具有 elsave等。只要有权限,要清除日志显然是一件易如反掌的事情了。呵呵! 很多管理员有修改日志文件存放位置的习惯,我们跟着来修改。 修改日志文件的存放位置必须在注册表里面修改,我们打开注册表并找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog 有没有看到 application、security、system几个子键,分别对应“应用程序日志”、“安全日志”、“系统日 志”这几个键下面还有很多子键,都是一些对应的信息,我们先来看看 application子键,如 图 1: 第 1页 共 1页 Windows日志的保护、备份及发送 图 1 File项的值就是“应用程序日志”文件存放的位置,我们将它改改,就将它放在 c:\netff 文件夹下吧,于是 File的值也就成了 c:\netff\Appevent.evt。如图 2,其它的不用改。 图 2 打开“命令提示符”,在 C 盘根目录下新建 netff 文件夹,并将 %systemroot%\system32\config\appevent.evt文件 copy到该文件夹。如图 3: 第 2页 共 2页 Windows日志的保护、备份及发送 图 3 至此,我们移动“应用程序日志”日志文件的存放位置已经完成,但由于我们刚才修改 的是注册表,要使其生效还必须重新启动机器。 重新启动机器后,打开“事件查看器”,看看“应用程序日志”的属性,图 4是修改前 的存放位置,图 5是修改后的存放位置: 第 3页 共 3页 Windows日志的保护、备份及发送 图 4 图 5 至此,我们已成功地将“应用程序日志”文件的存放位置移位。如法炮制,我们也将其 他日志文件存放在同一文件夹下。 二、保护移位后的日志 上面我们已经将日志文件移位,但是改变日志文件的存放位置并不能使它被某些日志清 除工具清除这个事实。甚至对某些日志清除工具来说,这是在做无用功。 :( 这个我当然知道,但如果不移位的话,我们这一步就没有办法做了。还有,这一步要求 我们的系统的磁盘必须为 NTFS格式。相信大多服务器都是这个格式吧。NTFS格式在很多 功能上都要比 FAT格式的强,这也是微软推荐的格式。 在系统的 NTFS格式中,有一项很重要的功能??安全功能,它能够对文件及文件夹进 行加密,以及设置不同的存取权限等等,现在我们就利用系统自带的存取权限来保护我们的 日志。我们选刚才将日志文件移到的 netff文件夹,选“属性”,再选“安全”选项,不选“允 许将来自父系的可继承权限传播给该对象”这时会弹出一个对话圈,如图 6: 第 4页 共 4页 Windows日志的保护、备份及发送 图 6 选“复制”按钮,再按“添加”选 system组后退出,然后分别给 everyone 组只读的权限, 给予 system组除“完全控制”和“修改”之外的所有权限。如图 7、8: 图 7 第 5页 共 5页 Windows日志的保护、备份及发送 图 8 确定后退出。 我们再打开“事件查看器”并试着清除日志,这时会询问是否保存原来日志,不管保不 保存,接着都会弹出一个错误对话框,如图 9: 第 6页 共 6页 Window