服务器日志玩儿“躲猫猫”

开篇：润墨网以专业的文秘视角，为您筛选了一篇服务器日志玩儿“躲猫猫”范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

众所周知,日志文件就是服务器操作系统运行的“日记”,它能按照既定的设置来记录所发生的事件,包括应用程序日志、安全日志和系统日志三类,分别对应于AppEvent.Evt、SecEvent.Evt和SysEvent.Evt三个日志文件。在Windows 2000服务器中,这些日志文件默认是存放于C:\WINNT\system32\config文件夹中的。当操作系统系统发生一些大大小小的故障时,有经验的网管就会从这些日志文件中找到一些蛛丝马迹,特别是一些与安全相关的网络入侵证据(比如黑客入侵时的出发IP地址或是登录账号等信息)。不过话又说回来,许多稍有些头脑的黑客也是深知这一点的,因此为防止被抓住入侵的把柄,很多情况下他们在撤退时使用工具或直接手工来清除所有的日志内容(这样的行为俗称“擦脚印”或“擦PP”),甚至是事先制作一份假日志文件再上传至config文件夹中以达到鱼目混珠的上的。因此,对于日志文件的保护工作必须要慎重,其中比较可行的简易方法是与黑客玩儿一下“躲猫猫”,也就是让日志文件撤离其默认的“窝”,躲藏到黑客所想不到的地方去!

1.查探服务器系统默认的日志路径

依次打开“控制面板”-“管理工具”-“计算机管理”,选中左侧窗格中的“事件查看器”,下面就出现“应用程序”、“安全性”和“系统”三项。以第一项“应用程序”为例,在上面右击选“属性”(如图1),在“日志名称”处明白地显示出Win 2000服务器的默认日志目的文件夹是:“C:\WINNT\system32\config\AppEvent.Evt”。

2.设计新日志路径

到D盘建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07\,起名的原则就不要“见名知义”了,越不起眼儿越好。

3.更改注册表

“开始”-“运行”,填入“Regedit”(不包括两侧引号)并确定,打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog(如图2),三个日志都在其下,还是以应用程序日志为例,选中“Application”后,右侧窗格中有个名为“File”的项,它的原始数据是“%SystemRoot%\system32\config\AppEvent.Evt”,即系统默认的路径与文件名。双击它,在弹出的窗口中修改其值为“D:\01\02\03\04\05\06\07\AppEvent.Evt”,依此类推,再分别把Security和System项下的“File”键更改成“D:\01\02\03\04\05\06\07\SecEvent.Evt”和“D:\01\02\03\04\05\06\07\SysEvent.Evt”。按F5键刷新一次注册表,关闭。

4.移动日志文件

到C:\WINNT\system32\config文件夹下把AppEvent.Evt、SecEvent.Evt和SysEvent.Evt这三个日志文件都剪切再粘贴到新路径D:\01\02\03\04\05\06\07中。重新启动一次服务器,再用“事件查看器”查一下应用程序日志文件的属性(如图3),日志路径是不是已经更改并生效了?

当然,让日志文件与入侵的黑客玩儿“躲猫猫”其实并不能彻底起到决定性的保护作用,不过如此简单的设置也足以让相当一部分耐心不够强的黑客挠头了,道理有些像把东得很好而小偷翻箱倒柜半天也一无所获,最终可能就一走了之。切记,最为关键的还是做好服务器的账户密码、打好漏洞之类的工作,安全工作不能只依靠某局部工作的落实,“大家好才是真的好”。