电脑知识强化系列教程 服务器清理日志.docxVIP

服务器运行一段时间后系统盘空间占用比较大,需要及时清理一些文件,比如日期久远的日志文件。一：开始 - 程序 - 管理工具 - 计算机管理 - 系统工具 -事件查看器,然后清除日志。?二： Windows 2003的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。日志文件默认位置：应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。?安全日志文件：%systemroot%\system32\config\SecEvent.EVT；?系统日志文件：%systemroot%\system32\config\SysEvent.EVT；?应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；?Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志；?Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志；?Scheduler服务日志默认位置：%sys temroot%\schedlgu.txt；?以上日志在注册表里的键：?应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的：?HKEYLOCALMACHINE\system\CurrentControlSet\Services\Eventlog?有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。?Schedluler服务日志在注册表中?HKEYLOCALMACHINE\SOFTWARE\Microsoft\SchedulingAgentFTP和WWW日志详解：FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex（年份）（月份）（日期）,例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例：?#Software： Microsoft Internet Information Services 5.0　　（微软IIS5.0）?#Version： 1.0 （版本1.0）?#Date：0315 （服务启动时间日期）?#Fields： time cip csmethod csuristem scstatus?0315 [1]USER administator 331　（IP地址为用户名为administator试图登录）?0318 [1]PASS – 530　（登录失败）?032：04 [1]USER nt 331　（IP地址为用户名为nt的用户试图登录）?032：06 [1]PASS – 530　（登录失败）?032：09 [1]USER cyz 331　（IP地址为用户名为cyz的用户试图登录）?0322 [1]PASS – 530　（登录失败）?0322 [1]USER administrator 331　（IP地址为用户名为administrator试图登录）?0324 [1]PASS – 230　（登录成功）?0321 [1]MKD nt 550　（新建目录失败）?0325 [1]QUIT – 550　（退出FTP程序）?从日志里就能看出IP地址为的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。?WWW日志：?WWW服务同FTP服务一样,产生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件?#Software： Microsoft Internet Information Services 5.0?#Version： 1.0?#Date：03：091?#Fields： date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)03：091 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+