天天加油 - 助您成才
毕业论文 | 电脑教程 | 范文写作 | 英语学堂 | 教案下载 | 教学案例 | 试卷下载 | 课件下载 | 知识堂
  • 联系我们
    • “细心呵护”Windows日志文件
    来源:天天加油  更新时间:2007-8-8
    您正在看的经验技巧是:“细心呵护”Windows日志文件。

    Windows日志文件记录着系统中各项服务的每一个细节,如系统的启动、运行、关闭等信息,它对Windows系统的稳定和安全,起到至关重要的作用。我们通过查看Windows日志,可以即时找出系统出现故障的原因。但往往也容易忽视对日志文件的保护,有些“不法之徒”成功入侵你的机器后,日志文件被清洗一空,使我们无从下手,找出系统漏洞所在。如何保护Windows日志文件呢?成为大家瞩目的焦点。下面跟笔者一起来吧!细心呵护我们的Windows日志。

    修改日志文件路径

    众所周知,Windows日志文件默认位置是“%systemroot%\system32\config”,它包括应用程序日志、安全日志、系统日志等,对应的日志文件分别为AppEvent.EVT、SecEvent.EVT和SysEvent.EVT。虽然这些文件受到“Event Log”服务的保护不能被删除,但可以被清空。为了保护这些日志文件完整性,可以使用注册表编辑器修改日志文件的存放路径。

    点击“开始→运行”,在运行对话框输入“regedit”命令,弹出注册表编辑器窗口,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”项,下面存在的Application、Security、System几个子键分别对应“应用程序日志、安全日志、系统日志”。下面以应用程序日志为例,介绍如何修改日志文件路径。

    选中“Application”子键,在右侧框中找到“File”项,双击打开,它的键值就是“应用程序日志”文件的路径,默认为“%SystemRoot%\system32\config\AppEvent.Evt”。下面将其值修改为“C:\cpcw\AppEvent.Evt”。接着在C盘根目录下新建一个“cpcw”目录,然后将“AppEvent.Evt”拷贝到该目录下,重新启动系统后,就完成应用程序日志文件路径的修改。其它日志文件路径修改方法相同,就不再赘述了。

    我的日志你别动

    通过修改日志文件的路径,虽然可以增强Windows日志的安全性,但依然没有改变被某些日志清除工具清空日志的命运。NTFS是大家常用的文件系统格式,下面我们就可以利用NTFS提供的访问控制列表(ACL)功能保护Windows日志。

    由于原日志文件存放路径“%systemroot%\system32\config”文件夹的特殊性,我们无法修改其访问权限。因此必须完成第一部分的“修改日志文件路径”操作。

    右键点击存放日志文件的cpcw目录,在弹出菜单中选择“属性”,切换到“安全”标签页,取消“允许将来自父系的可继承权限传播给该对象”选项勾选后,弹出安全对话框,点击“复制”按钮。接着在安全标签页中选中“Everyone”账号(图1),只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到列表框中,对该账号赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。

    图 1

    修改后,当我们在“事件查看器”中试图清除Windows日志时,就会弹出错误对话框,拒绝清除操作(图2),对某些日志清除工具同样也有效。如果我们自己想清空Windows日志,只要赋予相应账号对cpcw目录“修改”权限即可。

    图 2

    存储海量日志记录

    日志文件默认只有512KB,因此存储的日志记录信息有限,一旦有人攻击,致使日志文件超过指定大小,导致停止记录,这种事情的发生也是很可怕的。因此增加日志文件的容量,同样可以增强Windows日志的安全。

    如要修改应用程序日志容量为30MB,在“事件查看器”窗口中,右键点击“应用程序”选项,在弹出的菜单中选择“属性”,接着在“日志大小”框中找到“最大日志文件大小”项目,将默认的512KB修改为30720KB(图3),最后点击“确定”按钮即可。

    图 3

    定期备份日志习惯好

    很多朋友都有定期备份重要数据的好习惯,备份Windows日志文件也同样重要。我们可以利用Windows资源工具箱提供的“dumpel.exe”命令实现。

    dumpel.exe命令格式如下:

    dumpel -f file [-s \\server] [-l log [-m source]]

    -s 用来指定远程计算机,如果是本地可以省去

    -f 指定备份日志文件的位置和文件名

    -l 指定要备份哪种类型的日志文件,可选项为Application、Security、System等。

    下面笔者备份本机的应用程序日志(Application)到C盘appbak.log文件中。在“命令提示符”窗口中,切换到“C:\>”提示符下,运行“dumpel -l application -f appbak.log”命令,出现“Dump successfully completed”提示信息后,就完成了日志文件备份。

    经过以上几步操作,我们的Windows日志就更加安全了,更能有效地抵御“不法之徒”的入侵了(以上方法适用于Windows2000/

    1 2 下一页
    返回 经验技巧 教程列表
    经验技巧点击排行
  • 有线通和ADSL究竟哪个好?[701]
  • HKEY_CLASSES_ROOT根键[403]
  • Windows中实现定时自动运行程序[308]
  • 认识SIS芯片组(下)[293]
  • Win32编程基础知识[287]
  • 注册表应用宝典(二)[258]
  • Windows 2000系统优化指南[258]
  • Windows蓝屏画面错误代码说明一览表[258]
  • 选购金典 对比LCD和CRT显示器的优缺点[249]
  • Windows系统错误代码大全[225]
  • 上一篇教程:
  • 下一篇教程:

    • 排行

    1. 以管理员身份运行“计算机管理”
    2. Winodws下Apache+PHP+MySQL的安装
    3. 快照 RegSnap
    4. HKEY_USER 根键(一)
    5. 如何从计算机上删除 Windows XP 
    6. 双机热备、双机互备和双机双工三
    7. sap basis系列之三
    8. 给freebsd系统增加一个新硬盘
    9. 我教你学之IE6.0性能注册表修改实
    10. 让光驱运行得更快
    11. 赤手空拳保秘密
    12. 注册表应用宝典(二)
    13. 菜鸟也可以对系统注册表“动手动
    14. 用“类标识符”保护Windows系统文
    15. Windows98安装文件压缩包的释放
    16. VMware Workstation 3.0 综述(四
    1. Winodws下Apache+PHP+MySQL的安装
    2. Windows Vista SP1截图曝光
    3. 挖掘WindowsXP系统安装盘中的神秘
    4. 如何从计算机上删除 Windows XP 
    5. OSC-Introduction(1)
    6. 双机热备、双机互备和双机双工三
    7. sap basis系列之三
    8. freebsd ports 使用举例:安装 m
    9. T3在线更换电池具体方法!
    10. 给freebsd系统增加一个新硬盘
    11. 微软将在R2中支持Unix
    12. Win32位程序设计初步之服务
    13. Win32程序设计初步之线程
    14. Windows SDK编程之基本结构
    15. Win32编程基础知识
    16. 让多个系统共享IE浏览器资源
    1. Winodws下Apache+PHP+MySQL的安装
    2. 快照 RegSnap
    3. HKEY_USER 根键(一)
    4. 如何从计算机上删除 Windows XP 
    5. 双机热备、双机互备和双机双工三
    6. sap basis系列之三
    7. 给freebsd系统增加一个新硬盘
    8. 我教你学之IE6.0性能注册表修改实
    9. 让光驱运行得更快
    10. 用“类标识符”保护Windows系统文
    11. Windows98安装文件压缩包的释放
    12. VMware Workstation 3.0 综述(四
    13. “细心呵护”Windows日志文件
    14. 详解Windows非法操作的具体含义
    15. DOS环境变量“全家福”
    16. Windows中实现定时自动运行程序

    最近更新

  • 推荐阅读
    • 经验技巧《“细心呵护”Windows日志文件》“细心呵护”Windows日志文件
    关于我们 | 版权申明 | 广告服务 | 友情链接 | 网站地图 | 使用帮助 | ©2006-2008 TTADD.COM