Windows日志查看與清理

實驗內容和步驟

本實驗分為兩個任務，依次為：（1）日志查看；（2）日志清理。

日志查看

(1) 啟動Windows實驗台，點擊：開始 - 控制面板 - 管理工具 - 事件查看器。如下圖所示。

 

 

(2) 應用程序日志、安全日志、系統日志、DNS日志默認位置：%sys temroot%\system32\config，默認文件大小512KB，管理員可以改變這個默認大小。

      安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

      系統日志文件：%systemroot%\system32\config\SysEvent.EVT；

      應用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

      DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

      在事件查看器中右鍵應用程序（或安全性、系統、DNS服務器）查看屬性可以得到日志存放文件的路徑，並可修改日志文件的大小，清除日志。例如選中“應用程序”右鍵屬性，如下圖：

 

 

 選中事件查看器中左邊的樹形結構圖中的日志類型（應用程序、安全性或系統），右擊“查看”，並選擇“篩選”。或者點擊屬性頁面的篩選器標簽，日志篩選器將會啟動。通過篩選器系統會過濾出管理員希望查看的日志記錄

(3) 查看www和ftp日志文件夾下的日志文件

     （由於實驗環境中不允許訪問互聯網，無法操作得出日志文件。請參考指導書使用個人電腦進行實驗。）

     嘗試對www服務中某一文件進行訪問，則日志中則會有相應的日志記錄如下圖。

 

 

 日志中記錄了訪問www服務的請求地址，管理員可以根據請求地址，發現網絡上的攻擊，管理員可根據日志信息，采取一定的防護措施。

  ftp的日志中同樣會記錄ftp服務的登陸用戶，以及登陸之后的操作。

(4) 計划任務日志

     當入侵者得到遠程系統的shell之后，常會利用計划任務運行功能更加強大的木馬程序，計划任務日志詳細的記錄的計划任務的執行時間，程序名稱等詳細信息。

     打開計划任務文件夾，點擊“高級”-查看日志，即可查看計划任務日志。

 

 

日志清除

(1) 刪除事件查看器中的日志

    主機下載使用elsave清除日志工具 

     下載地址：http://tools.hetianlab.com/tools/Elsave.rar

    先用ipc$管道進行連接，在cmd命令提示符下輸入 net use \\對方IP（實驗台IP）\ipc$ "密碼" /user:"用戶名"；

     連接成功后，開始進行日志清除。

    清除目標系統的應用程序日志輸入elsave.exe -s \\對方ip -l "application" -C

    清除目標系統的系統日志輸入elsave.exe -s \\對方IP -l "system" -C

    清除目標系統的安全日志輸入elsave.exe -s \\對方IP -l "security" -C

     輸入如下圖

回車后可以查看遠程主機內的系統日志已經被刪除了

 

(2) 刪除常見服務日志

    IIS的日志功能，它可以詳細的記錄下入侵全過程，如用unicode入侵時IE里打的命令，和對80端口掃描時留下的痕跡。　 

    手動清除：日志的默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日志。進入到遠程主機后（也可直接在實驗台中操作），cmd下切換到這個目錄下，然后 del *.*。或者刪除某一天的日志。如果無法刪除文件，首先需要停止w3svc服務，再對日志文件進行刪除，使用net 命令停止服務如下：

    C:\>net stop w3svc

    World Wide Web Publishing Service 服務正在停止。

    World Wide Web Publishing Service 服務已成功停止。

     日志w3svc停止后，然后清空它的日志, del *.*

     C:\>net start w3svc

     清除ftp日志，日志默認位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默認每天一個日志，清除方法同上。

 

(3) 刪除計划任務日志

 

    先來刪除計划任務日志：

 

    在實驗台中命令行進入日志所在文件夾下（%systemroot%\Tasks）， 刪除schedlgu.txt ， 提示無法訪問文件，因為另一個程序正在使用此文件。說明服務保護，需要先把服務停掉。命令行中輸入net stop schedule;

下面的服務依賴於Task Scheduler 服務。停止Task Scheduler 服務也會停止這些服務。

    Remote Storage Engine

    Task Scheduler 服務正在停止. Task Scheduler 服務已成功停止。

    如上顯示服務停掉了，同時也停掉了與它有依賴關系的服務。再來刪除schedlgu.txt；

    刪除后需要再次啟動該任務以便主機能夠正常工作，輸入net start schedule：

 

 

 

分析與思考

1）還有哪些途徑可以發現網絡中存在的攻擊或者入侵。

數據挖掘，看日志
2）清理日志能否把所有的痕跡都清理干凈。

 不可以

https://blog.csdn.net/qq_41874930/article/details/108227086

1.Windows日志不包括以下哪種日志？D

• A：系統日志
• B：安全日志
• C：應用程序日志
• D：殺毒軟件查殺病毒日志

2、Windows日志清除方法不妥的是？D

• A：使用elsave清除日志工具
• B：手工刪除
• C：進入日志文件夾下刪除日志文件
• D：格式化硬盤

3、應用程序日志中存放哪些日志，不屬於的是？D

• A：應用程序產生的信息
• B：應用程序產生的警告
• C：應用程序產生的錯誤
• D：下載應用程序日志

4、Windows開關機時間記錄在哪項日志里面？C

• A：應用程序日志
• B：安全日志
• C：系統日志
• D：硬件事件