当你的才华

还撑不起你的野心时

那你就应该静下心来学习

目录

前置知识点:

一、日志查看

二、日志清除

本次我们来讲讲常见服务的日志记录位置;阅读常见服务产生的日志;掌握系统日志、服务日志和计划任务日志的清理方法,在这之前我们先了解一些一些前置知识点,方便我们后面篇幅更好的学习 。

前置知识点:

系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
     应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。

  1. 安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
  2. 系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
  3. 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
  4. DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
  5. Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,
  6. Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,
  7. ftp和WWW服务,默认每天一个日志;
  8. Scheduler计划任务服务日志默认位置:%systemroot%\Tasks\schedlgu.txt,由于系统屏蔽的原因,只能在命令行下查看。

一、日志查看

安全日志中存放了审核事件是否成功的信息。通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。

应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误,可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。接下来我们来看看,怎么查看系统日志的操作。

(1)Windos server 系统,点击:开始 - 控制面板 - 管理工具 - 事件查看器

成功打开事件查看器

(2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小

  1. 安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
  2. 系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
  3. 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
  4. DNS日志:%systemroot%\system32\config\DnsEvent.EVT;

      在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志

选中“应用程序”右键属性

      选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”

      或者点击属性页面的筛选器标签,日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录

(3)查看www和ftp日志文件夹下的日志文件

尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录。

日志记录保存路径:C:\Windows\System32\LogFiles

     注意:

              日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一定的防护措施。

              ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的操作。

(4) 计划任务日志

当入侵者得到远程系统的shell之后,常会利用计划任务运行功能更加强大的木马程序,计划任务日志详细的记录的计划任务的执行时间,程序名称等详细信息

打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。

二、日志清除

(1) 删除事件查看器中的日志

请先去网上下载elsave清除日志工具

操作如下:

先用ipc$管道进行连接,在cmd命令提示符下输入 net use \\对方IP(实验台IP)\ipc$ "密码" /user:"用户名";

连接成功后,开始进行日志清除。

  1. 清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C
  2. 清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C
  3. 清除目标系统的安全日志输入elsave.exe -s \\对方IP -l "security" -C

在终端输入如上描述的命令即可达到想要的结果

(2) 删除常见服务日志

  IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹 

手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后,cmd下切换到这个目录下,然后 del *.*。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除

net 命令停止服务如下:

  1. C:\>net stop w3svc
  2. World Wide Web Publishing Service 服务正在停止。
  3. World Wide Web Publishing Service 服务已成功停止。
  4. 日志w3svc停止后,然后清空它的日志, del *.*
  5. C:\>net start w3svc
  6. 清除ftp日志,日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。

(3) 删除计划任务日志

  先来删除计划任务日志:

在命令行进入日志所在文件夹下(%systemroot%\Tasks), 删除schedlgu.txt , 提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入net stop schedule;

下面的服务依赖于Task Scheduler 服务,停止Task Scheduler 服务也会停止这些服务

   Remote Storage Engine

Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止

如上显示服务停掉了,同时也停掉了与它有依赖关系的服务

     再来删除schedlgu.txt

删除后需要再次启动该任务以便主机能够正常工作

输入net start schedule:

参考链接:http://www.hetianlab.com/expc.do?ce=5b68d4a2-fb03-4e98-9eac-7651e06365d8

我不需要自由,只想背着她的梦

一步步向前走,她给的永远不重

windows日志查看与清理相关推荐

  1. Windows日志查看工具分享

    平时在Linux下查看日志,使用tail.grep.find等命令还比较方便,后来需要在Windows中处理一些问题,发现缺少类似的功能,比如tailf实时输出,于是在网上收集了一些相关的小工具,希望 ...

  2. win10系统5小时休眠—windows日志查看 判断非法关机

    win10系统5小时休眠-windows日志查看 判断非法关机 1 分析 2 操作 3 日志介绍 参考 1 分析 自己设置从不休眠模式,还是进入了休眠模式,原因是电源不稳定或者是散热的问题或者是设置不 ...

  3. 大华视频服务器系统日志怎么看,日常工作中查看工控机Windows日志的方法

    原标题:日常工作中查看工控机Windows日志的方法 工控机Windows日志位于工控机管理的事件查看器中,主要是用于存储来自应用程序以及整个系统的文件.一般可以分为应用程序日志.安全日志.系统日志这 ...

  4. Windows:打开MSDTC,恢复Windows任务栏,查看windows日志,打开远程桌面,打开Services,资源监控...

    一,Win10 打开 MSDTC 1,Win+R 打开运行窗口,输入 dcomcnfg,打开组件服务窗口 2,在组件服务 catalog下找到 Distributed Transaction Coor ...

  5. windows查看服务器启动日志文件,windows服务器日志查看工具

    windows服务器日志查看工具 内容精选 换一换 本节操作指导用户查看Windows弹性云服务器的登录日志.本节操作以2012操作系统云服务器为例.登录弹性云服务器.选择"开始 > ...

  6. Windows下查看Android手机日志(LogView使用)

    Windows下查看Android手机日志 1. 准备环境 2.JDK安装 3.配置JDK环境变量 4.配置Android adb 环境 5.adb 常用命令介绍 电脑无线连接手机设置 1.确保手机连 ...

  7. window服务器看登录日志文件,【谁登了我的电脑?教你如何查看Windows事件日志】,windows日志...

    [谁登了我的电脑?教你如何查看Windows事件日志],windows日志 来源:数据安全与取证(ID:Cflab_net) 原创:Wendy 出于工作需要,除了自己的Mac笔记本,Wendy还配了一 ...

  8. 【windows】查看windows事件日志

    转自:http://www.xitongtiandi.net/wenzhang/win10/26570.html    感恩 目录 方法一 方法二 事件查看器常用ID 当我们需要查找win10的开机历 ...

  9. 怎么查看linux的日志syslog,Windows日志的记录

    Windows日志的记录 二.Windows日志的记录 对于UNIX类主机之间记录日志,由于协议.软件和日志信息格式等都大同小异,因此实现起来比较简单,但是windows的系统日志格式不同,日志记录软 ...

最新文章

  1. ICMP重定向(ICMP Redirect)
  2. asp.net %% %#%%=%%@%%$%用法与区别
  3. WPF DataGrid根据内容设置行颜色
  4. js实现数组降维算法[不准用Array.prototype.flat的api]
  5. [python] list元素按关键字相加减
  6. python多进程线程学习_python进程、线程的学习心得
  7. HTML-参考手册: 键盘快捷键
  8. Android TV 开发(5)
  9. three.js加载Obj三维模型
  10. win7计算机硬盘加密码,win7系统怎么加密电脑硬盘 win7系统加密电脑硬盘的快速操作方法...
  11. Java并发 JUC 一文快速入门
  12. 八国离线谷歌卫星影像地图内网发布
  13. b、blockquote、base、bdo、big、标签
  14. luogu3933 Chtholly Nota Seniorious
  15. 晒晒我的“无法操作”的“发财计划”
  16. anki最新开发文档(2.1)
  17. fflush函数使用
  18. jkd环境安装脚本(jdk-8u201-linux-x64.tar.gz)
  19. 中国没有掌握的尖端技术_适用于所有人的尖端AAA遮光技术
  20. c++ ado连接mysql数据库_C++使用ADO连接数据库及其实例

热门文章

  1. 视频断点续传+java视频
  2. 手机兼容性测试--testin云测流程
  3. 国产化硬件适配能力再升级,百度天工AIoT智能边缘助力提升边缘AI算力可控能力
  4. MathJax 引擎数学符号说明
  5. 微信小程序 | 基于ChatGPT实现电影推荐小程序
  6. AD7797芯片驱动调试
  7. (三十三 :2021.01.12)MICCAI 2016 追踪之论文纲要
  8. CAD点位坐标提取的方法
  9. 程序写情诗|专属于程序员的浪漫
  10. 作词:符如坤(2018.08.27)