實驗目的
1、掌握常見服務的日志記錄位置;
2、閱讀常見服務產生的日志;
3、掌握系統日志、服務日志和計划任務日志的清理方法。
實驗步驟一
日志查看
開始 - 控制面板 - 管理工具 - 事件查看器
事件查看器中右鍵查看屬性可以得到日志存放文件的路徑,並可修改日志文件的大小,清除日志
對左邊的日志類型右鍵選擇查看中的篩選可以篩選希望查看的日志
計划任務日志詳細的記錄的計划任務的執行時間,程序名稱等詳細信息,打開計划任務文件夾,點擊“高級”-查看日志,即可查看計划任務日志
日志清除
主機下載使用elsave清除日志工具
下載地址:http://tools.hetianlab.com/tools/Elsave.rar
用ipc$管道進行連接,在cmd命令提示符下輸入 net use \\對方IP(實驗台IP)\ipc$ "密碼" /user:"用戶名
將elsave解壓到c盤並打開
清除目標系統的應用程序日志輸入elsave.exe -s \\對方ip -l "application" -C
清除目標系統的系統日志輸入elsave.exe -s \\對方IP -l "system" -C
清除目標系統的安全日志輸入elsave.exe -s \\對方IP -l "security" -C
刪除計划任務日志
(%systemroot%\Tasks), 刪除schedlgu.txt , 提示無法訪問文件,因為另一個程序正在使用此文件。說明服務保護,需要先把服務停掉。命令行中輸入net stop schedule;
刪除后需要再次啟動該任務以便主機能夠正常工作,輸入net start schedule:
分析與思考
(1)還有哪些途徑可以發現網絡中存在的攻擊或者入侵。
(2)清理日志能否把所有的痕跡都清理干凈
(1)防火牆
(2)否
答題 1.D 2.D 3.D 4.C