LOG文件允许你监控你系统的资源,这些资源包括文件,应用程序,网络连接,
硬件和其他的一些设备。对于排错和系统安全的发现有很大的帮助。这文章
不解释你怎样看你的LOG记录而是解释一些管理技以帮助你让你的LG文件在你
的控制掌握只下。
当然你首先要知道这些LOG记录都放在哪里?
在UNIX系统上,对于LOG的管理一般很集中化,你熟悉的UNIX系统的话,就应该
知道一个系统里的DoS?UNICODE编码漏洞全攻略-4一些FreeBSD相关的安全问题 MySQL安全性指南 Linux下的代理服务器设置安全性与INTERNET信息服务器IIS系统管理员如何防范黑客攻击如何配置FTP服务器攻破天网的几种办法关注内网安全:网络卫士LANguard详解相关链接共 81 篇<<刷新该页面可以得到不同的关键字链接>>','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1003599627#">日志记录一般在某个目录下集中管理,如/var/log,或者
/var/adm等地方。在WINDOWS NT系统中,LOG文件就没有这样集中化了。NT系统中
有应用程序,系统和安全事件的EVENTLOG,对于INTERNET服务的LOG文件一般在于
C:\\WINNT\\system32\\LogFiles目录下,其他NT服务有它们自己的目录以及第三方
的软件一般都把目录放在其自己的程序目录下。这样,一个管理员就不会经常去
查看这些分放在不同目录底下的应用程序目录。所以我们需要的是建立一个统一
的好的管理LOG策略。
一般来说最好的方法是把各个记录文件放在同一地方是最好的管理方式,个人认为,
分划一个分区来存储LOG文件是比较好的方法,这样就可以很方便的使用ACL控制,
和保持文件分离各个应用程序。当然,作为日志来将,你所划分的空间需要你很
好的估计,因为日志往往是吃空间大户。再设置到大多数组可以写访问此盘,而
对于读网络安全方面的专业词汇teTeX Filters 临时文件存在竞争条件漏洞 一五一十谈IIS安全机制Resource Kit 第一部分 (1~23) 运用CrackLib构建安全的Unix口令Windows 2000故障采集全攻略IPC入侵工略及防范 Unix网络的两个安全问题看看破解者们是怎么样拿到密码的 通过NetBIOS入侵 相关链接共 195 篇<<刷新该页面可以得到不同的关键字链接>>','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1003599627#">权限只能由管理员来访问。最后你再设置一个\"current\"目录。
好了,现在你有一个分区来存储你的LOG文件,现在的问题是在你的系统上有那些
LOG记录和怎样把你的那些应用程序系统放到你所指定的分区中去。
先说明下一些普通LOG文件和你怎样重定位它们:
Eventlog--这些在NT中内建的事件LOG你可以通过EVENT VIEWER-事件查看器来查
看。这些LOG包括如应用程序LOG,安全LOG,系统LOG,DNSproc文件系统面面谈Windows新漏洞将任意用户提升到SYSTEM级别的权限的方法IIS多数漏洞的整理 看看破解者们是怎么样拿到密码的 Win2K Server入侵监测什么是入侵检测构造特殊 FTP 请求导致 Squid Web Proxy Cache 拒绝服务漏洞虚拟网络计算工具介绍白皮书:Red Hat日志文件系统-ext3 我是怎样进入chinalinux站点的相关链接共 262 篇<<刷新该页面可以得到不同的关键字链接>>','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1003599627#">服务器LOG,目录服务,
和文件复制服务。它们这些LOG文件的重定位可以通过编辑注册表中的:
the HKLM\\System\\CurrentControlSet\\Services\\Eventlog
的键值来完成。其中EVENTLOG下面有很多的子表,里面你可而已查找你想定位
的LOG记录,找到一个KEY后在File属性下,设置每个文件保存在你所划分区的
\"current\"目录下。(编辑注册表有影响系统的危险,操作之前先保存注册表)
然后重新启动激活更改值。
关于INTERNET服务的记录--这些是你的WEB,FTP和INTERNET LOG文件记录。这些
是唯一可以被设置为循环记录的文件,因此它们的文件名是基于周期时间的记录。
为了改变这些文件的位置。编辑WEB和FTP的ROOT属性,选择LOG文件的属性,在
这里你可以把LOG文件设置到你所划分区的\"current\"目录下。
Schedule Logs --这是个重要的LOG,你需要经常查看。它是位于C:\\WINNT\\SchedLgU.Txt
下,其记录着所有由SCHEDULER服务启动的所有行为,如服务的启动和停止,你应该
知道很多攻击以后,有不少浅谈数据库的攻击ASP漏洞及安全建议(safefan)adore rootkit分析反NIDS技术介绍由一次入侵实例看虚拟主机系统的安全问提(下)入侵思路IP端口对照表(中文注释)samsa网络入侵教程一 unicode编码漏洞全攻略-6关于NT LOG记录 相关链接共 78 篇<<刷新该页面可以得到不同的关键字链接>>','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1003599627#">后门是通过这个服务来启动的,所以你应该仔细查找
这文件的里的内容,重新定位这个文件的位置,可以通过编辑下面的键值来完成:
HKLM\\SOFTWARE\\Microsoft\\SchedulingAgent
Performance Logs --这些LOG是性能监视记录器建立的,它们可以通过编辑注册
表中的HKLM\\System\\CurrentControlSet\\Services\\SysmonLog的DefaultLogFileFolder
值来完成。
除上面的之外,你也需要查看下面的一些LOG文件:
应用程序LOG--一般来说你如果有第三方的WEB服务程序或者FTP,MAIL服务程序,
你也需要跟踪他们的LOG,并从注册表中更改他们记录重定向他你新的分区。
MODEM记录--一般来说你的机器可以多人使用的话,请记录这些记录。
发送MAIL记录--虽然这不是一个真正的LOG记录,但你需要定时检查这些记录或者
你编一个脚本来检查。
目录列表记录--这算不上一个传统的LOG记录,但安排每天的一些敏感目录列表
重定向到你的LOG分区是一个比较好的注意,如果有新的文件突然产生,你可以
跟踪它。它可以通过下面的方法来完成:
dir C:\\InetPub\\wwwroot\\ /S /B > [LogPartition].
进程列表记录--你可以安排一些ps.exe,tlist.exe和其他一些免费进程列表软件
来监视你系统上的进程,并保存为文件。这样的好处是你可以比较方便的发现
一些木马程序或者未授权的应用程序在运行。当然你也可以使用netstat.exe来
定期的查看一些你机器上监听的端口。上面这些程序可以到下面的站点找到:
http://www.sysinternals.com/
最后你最好使用一个批处理文件来归档LOG文件,你可以把今天的LOG文件自动移
到另一个位置。要注意的是有些文件是不让你随意更改和移动的,你需要停止
这些关于产生这个LOG的进程来进行移动,如Scheduler service的LOG,你需要使用
Net stop scheduler,然后在移动LOG文件,再使用net start scheduler来启动。
当然你要查看需要你也可以使用一些事件查看工具把它们转化为ASCII文件。
所以这些只是一些事后的检查需要,要不被未授权访问,很好的对系统的保护是
必须的,这些问题的内容你可以参考其他方面的材料。
