通过本实验,掌握常见服务的日志记录位置;阅读常见服务产生的日志;掌握系统日志、服务日志和计划任务日志的清理方法。本实验环境为本地主机(WindowsXP)、Windows实验台。实验目标需首先确定所在主机实验台IP地址,并根据实验步骤填写正确的IP地址进行实验。
本实验要求实验者具备如下的相关知识:
系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。
应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误,可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。
应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。如下:
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,
ftp和WWW服务,默认每天一个日志;
Scheduler计划任务服务日志默认位置:%systemroot%\Tasks\schedlgu.txt,由于系统屏蔽的原因,只能在命令行下查看。
