通過本實驗,掌握常見服務的日志記錄位置;閱讀常見服務產生的日志;掌握系統日志、服務日志和計划任務日志的清理方法。本實驗環境為本地主機(WindowsXP)、Windows實驗台。實驗目標需首先確定所在主機實驗台IP地址,並根據實驗步驟填寫正確的IP地址進行實驗。
本實驗要求實驗者具備如下的相關知識:
系統日志中存放了Windows操作系統產生的信息、警告或錯誤。通過查看這些信息、警告或錯誤,不但可以了解到某項功能配置或運行成功的信息,還可了解到系統的某些功能運行失敗,或變得不穩定的原因。
安全日志中存放了審核事件是否成功的信息。通過查看這些信息,可以了解到這些安全審核結果為成功還是失敗。
應用程序日志中存放應用程序產生的信息、警告或錯誤。通過查看這些信息、警告或錯誤,可以了解到哪些應用程序成功運行,產生了哪些錯誤或者潛在錯誤。程序開發人員可以利用這些資源來改善應用程序。
應用程序日志、安全日志、系統日志、DNS日志默認位置:%sys temroot%\system32\config,默認文件大小512KB,管理員可以改變這個默認大小。如下:
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系統日志文件:%systemroot%\system32\config\SysEvent.EVT;
應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
Internet信息服務FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\,
Internet信息服務WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\,
ftp和WWW服務,默認每天一個日志;
Scheduler計划任務服務日志默認位置:%systemroot%\Tasks\schedlgu.txt,由於系統屏蔽的原因,只能在命令行下查看。
