久久精品国产精品,无码AV中文字幕久久专区

Windows中各種日志文件和IIS日志文件的分析-宇眾網(wǎng)絡(luò)

2020年11月02日

一、應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置：%systemroot%/system32/config，默認文件大小512KB，管理員都會改變這個默認大小。

1、安全日志文件：%systemroot%/system32/config/SecEvent.EVT

2、系統(tǒng)日志文件：%systemroot%/system32/config/SysEvent.EVT

3、應(yīng)用程序日志文件：%systemroot%/system32/config/AppEvent.EVT

二、Internet信息服務(wù)日志

1、FTP日志默認位置：%systemroot%/system32/logfiles/msftpsvc1/，默認每天一個日志

2、WWW日志默認位置：%systemroot%/system32/logfiles/w3svc1/，默認每天一個日志

三、Scheduler服務(wù)日志默認位置：%systemroot%/schedlgu.txt

以上日志在注冊表里的鍵：

應(yīng)用程序日志，安全日志，系統(tǒng)日志，DNS服務(wù)器日志，它們這些LOG文件在注冊表中的：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog

有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄。

Schedluler服務(wù)日志在注冊表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent

編者按：
服務(wù)器上，如果C盤分配太小，則會把日志文件存放位置修改到其他磁盤。

日志的重要性已經(jīng)越來越受到程序員的重視,IIS的日志更是不言而喻。

IIS日志建議使用W3C擴充日志文件格式，這也是IIS 5.0已上默認的格式，可以指定每天記錄客戶IP地址、用戶名、服務(wù)器端口、方法、URI資源、URI查詢、協(xié)議狀態(tài)、用戶代理，每天要審查日志。如圖1所示。

IIS 的WWW日志文件默認位置為 %systemroot%\system32\logfiles\w3svc1\，（例如：我的則是在 C:\WINDOWS\system32\LogFiles\W3SVC1\），默認每天一個日志。

建議不要使用默認的目錄，更換一個記錄日志的路徑，同時設(shè)置日志訪問權(quán)限，只允許管理員和SYSTEM為完全控制的權(quán)限。   如圖2所示。

如果發(fā)現(xiàn)IIS日志再也不記錄了，解決辦法：
看看你有沒有啟用日志記錄：你的網(wǎng)站--> 屬性 -->“網(wǎng)站”-->“啟用日志”是否勾選。

日志文件的名稱格式是：ex+年份的末兩位數(shù)字+月份+日期。
( 如2002年8月10日的WWW日志文件是ex020810.log ）

IIS的日志文件都是文本文件，可以使用任何編輯器或相關(guān)軟件打開，例如記事本程序，AWStats工具。

開頭四行都是日志的說明信息

#Software        生成軟件
#Version         版本
#Date            日志發(fā)生日期
#Fields          字段，顯示記錄信息的格式，可由IIS自定義。

日志的主體是一條一條的請求信息，請求信息的格式是由#Fields定義的，每個字段都有空格隔開。

字段解釋

data                   日期
time                  時間
cs-method         請求方法
cs-uri-stem        請求文件
cs-uri-query     請求參數(shù)
cs-username       客戶端用戶名
c-ip                    客戶端IP
cs-version          客戶端協(xié)議版本
cs(User-Agent)  客戶端瀏覽器
cs(Referer)        引用頁

下面列舉說明日志文件的部分內(nèi)容（每個日志文件都有如下的頭4行）：
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-09-21 02:38:17
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

2007-09-21 01:10:51 10.152.8.17 - 10.152.8.2 80
GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7)

　　上面各行分別清楚地記下了遠程客戶端的：

            連接時間               2007-09-21 01:10:51
                 IP地址              10.152.8.17 - 10.152.8.2
            端    口               80
            請求動作               GET /seek/images/ip.gif - 200
            返回結(jié)果               - 200 （用數(shù)字表示，如頁面不存在則以404返回）
      瀏覽器類型              Mozilla/5.0+
系統(tǒng)等相關(guān)信息              X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7

附：IIS的FTP日志

IIS的FTP日志文件默認位置為%systemroot%\system32\logfiles\MSFTPSVC1\，對于絕大多數(shù)系統(tǒng)而言（如果安裝系統(tǒng)時定義了系統(tǒng)存放目錄則根據(jù)實際情況修改）則是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW日志一樣，也是默認每天一個日志。日志文件的名稱格式是：ex+年份的末兩位數(shù)字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件，同樣可以使用任何編輯器打開，例如記事本程序。和IIS的WWW日志相比，IIS的FTP日志文件要豐富得多。下面列舉日志文件的部分內(nèi)容。

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2002-07-24 01:32:07
#Fields: time cip csmethod csuristem scstatus
03:15:20 210.12.195.3 [1]USER administator 331　
（IP地址為210.12.195.2用戶名為administator的用戶試圖登錄）

03:16:12 210.12.195.2 [1]PASS - 530?。ǖ卿浭。?br />
03:19:16 210.12.195.2 [1]USER administrator 331　
（IP地址為210.12.195.2用戶名為administrator的用戶試圖登錄）

03:19:24 210.12.195.2 [1]PASS - 230?。ǖ卿洺晒Γ?nbsp;
03:19:49 210.12.195.2 [1]MKD brght 550?。ㄐ陆夸浭。?nbsp;
03:25:26 210.12.195.2 [1]QUIT - 550?。ㄍ顺鯢TP程序）

有經(jīng)驗的用戶可以通過這段FTP日志文件的內(nèi)容看出，來自IP地址210.12.195.2的遠程客戶從2002年7月24日3：15開始試圖登錄此服務(wù)器，先后換了2次用戶名和口令才成功，最終以administrator的賬戶成功登錄。這時候就應(yīng)該提高警惕，因為administrator賬戶極有可能泄密了，為了安全考慮，應(yīng)該給此賬戶更換密碼或者重新命名此賬戶。

如何辨別服務(wù)器是否有人曾經(jīng)利用過UNICODE漏洞入侵過呢？可以在日志里看到類似如下的記錄：
如果有人曾經(jīng)執(zhí)行過copy、del、echo、.bat等具有入侵行為的命令時，會有以下類似的記錄：
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401