日志查看
(1) 啟動Windows實驗台,點擊:開始 - 控制面板 - 管理工具 - 事件查看器
應用程序日志、安全日志、系統日志、DNS日志默認位置:%sys temroot%\system32\config,默認文件大小512KB,管理員可以改變這個默認大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系統日志文件:%systemroot%\system32\config\SysEvent.EVT;
應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右鍵應用程序(或安全性、系統、DNS服務器)查看屬性可以得到日志存放文件的路徑,並可修改日志文件的大小,清除日志。
日志清除
(1) 刪除事件查看器中的日志
先用ipc$管道進行連接,在cmd命令提示符下輸入 net use \\對方IP(實驗台IP)\ipc$ "密碼" /user:"用戶名";
連接成功后,開始進行日志清除。
清除目標系統的應用程序日志輸入elsave.exe -s \\對方ip -l "application" -C
清除目標系統的系統日志輸入elsave.exe -s \\對方IP -l "system" -C
清除目標系統的安全日志輸入elsave.exe -s \\對方IP -l "security" -C
刪除常見服務日志
手動清除:日志的默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志。進入到遠程主機后(也可直接在實驗台中操作),cmd下切換到這個目錄下,然后 del *.*。或者刪除某一天的日志。如果無法刪除文件,首先需要停止w3svc服務,再對日志文件進行刪除,使用net 命令停止服務如下:
C:\>net stop w3svc
World Wide Web Publishing Service 服務正在停止。
World Wide Web Publishing Service 服務已成功停止。
日志w3svc停止后,然后清空它的日志, del *.*
C:\>net start w3svc
清除ftp日志,日志默認位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默認每天一個日志,清除方法同上。
刪除計划任務日志
命令行中輸入net stop schedule
再次啟動該任務以便主機能夠正常工作,輸入net start schedule
還有哪些途徑可以發現網絡中存在的攻擊或者入侵。
端口掃描軟件,口令
清理日志能否把所有的痕跡都清理干凈 能
