1. 1. 操作系统常见日志
  2. 2. 服务器日志剖析
  3. 3. 系统防火墙日志
  4. 4. 系统终端登录日志
  5. 5. 其他日志
  6. 6. 系统日志的擦除
  7. 7. 数据库日志擦除

说实话windows里面的很多日志都是没有好的办法有效的清理。想对那些日志也不会太被一般的管理员查到。
当然日志的清除日志不是最高明的做法!

操作系统常见日志

日志文件是操作系统比较特别的文件,默默地记录着系统发送的一切事件,这些普通的日志文件平常毫不起眼,显得微不足道。
但是一旦发生安全事件,就成了最宝贵的数据,计算机取证人员会提取其中的关键日志进行分析,分析攻击者在系统中进行的各项操作,
最后将这些信息整理出来成为控告攻击者最有说服力的证据。如果要擦除这些痕迹,攻击者必须熟悉操作系统中日志的相关知识。
系统自带日志是非常关键的日志,计算机取证人员通常会从这里下手提取一些数据,系统自带日志分为三类,具体如下:
(1)应用程序日志:记录了重要的应用程序产生的错误和成功信息
(2)安全日志:windows系统的组件产生的日志
(3)系统日志:审核策略的日志
查看系统日志的方法为开始—设置—控制面板—管理工具–事件查看器。

服务器日志剖析

服务器日志也是相当的重要,它记录了网络用户对服务器资源的访问事件。服务器日志主要分为三类,具体如下:
(1)IIS日志:用于记录网络用户活动的细节信息
(2)FTP日志:所有用户的访问信息
(3)DNS日志:DNS活动相关的事件信息
目前网络上普遍使用微软的IIS作为网站的服务器,通常web服务器最容易受到黑客的袭击,IIS日志显得格外重要,
其中详细记录了网络用户的活动信息,一般网站被黑客入侵,通过分析IIS日志,找出攻击者的IP地址。
查看IIS日志的方法:开始–设置–控制面板–管理工具—internet信息服务管理器–网站属性–启用日志记录–属性。

系统防火墙日志

通常防火墙是拦截外部攻击的第一道屏障,防火墙不仅可以阻挡攻击,而且对外部计算机尝试攻击的事件会详细记录,
此工作通常交给日志来做,由此可见日志同样扮演着相当重要的作用。
查看方法:网上邻居–属性–更改windows防火墙–高级–安全日志记录–设置

系统终端登录日志

当用户使用远程终端功能登录到远程服务器时,在登录列表都会显示登录过的计算机IP地址信息,而且在这里是无法进行删除的。
这些登录日志没有存储在具体的文件中,该记录直接保存在注册系统中。

其他日志

除了系统相关的日志外,第三方应用软件也会自带日志记录功能,不过这类软件的日志一般很少人关注。
取证人员同样很关心这些偏僻的日志,往往从这里会得到意外的收获。比如Serv-U和MSSQL。
其实第三方服务器软件很多。

系统日志的擦除

数据擦除是最有效的反取证技术,通过对原始数据的销毁,取证工作自然是无法进行。
(1)系统常见日志以及服务器日志擦除
当黑客进入系统后,第一件事情就是关闭审核策略。关于审核策略的关闭操作如下:
开始–运行–输入secpol.msc–本地策略–审核策略–审核登录事件|审核账户登录事件–属性–取消成功对钩–应用–确定。
也可以利用我们上节课讲到的aio工具来完成日志的清除任务。具体的命令格式为:aio -cleanlog
它可以删除SMTP、应用程序、安全性、系统、IIS、FTP等所有可能存在的日志。
(2)终端日志清理
终端日志是保存在注册表系统中的,可以通过手工操作注册表删除对应的键值,这样操作非常麻烦。可以使用批处理

数据库日志擦除

一般需要针对特定类型的数据库来做特定的清除

登入日志叉掉:

开始–运行–输入secpol.msc–本地策略–审核策略–审核登录事件|审核账户登录事件–属性–取消成功

对钩–应用–确定

它可以删除SMTP、应用程序、安全性、系统、IIS、FTP等所有可能存在的日=======用工具可以插出日志

起始—程序—管理工具—本地安全策略—本地策略(secpol.msc)—审核策路—这里所有的修改在

起始—程序—管理工具—组件服务—事件查看器—安全性里面有记录的。。。。。

一、应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,
默认文件大小512KB,管理员都会改变这个默认大小。

1、安全日志文件:%systemroot%\system32\config\SecEvent.EVT

2、系统日志文件:%systemroot%\system32\config\SysEvent.EVT

3、应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT

4、FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志

5、WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志

三、Scheduler服务日志默认位置:%systemroot%\schedlgu.txt

以上日志在注册表里的键:

应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent