第一章 詳述Win2000日誌及其刪除方法

Windows2000的日誌文件通常有應用程序日誌，安全日誌、係統日誌、DNS服務器日誌、FTP日誌、WWW日誌等等，可能會根據服務器所開啟的服務不同。當我們用流光探測時，比如說IPC探測，就會在安全日誌裏迅速地記下流光探測時所用的用戶名、時間等等，用FTP探測後，也會立刻在FTP日誌中記下IP、時間、探測所用的用戶名和密碼等等。甚至連流影啟動時需要msvcp60.dll這個動庫鏈接庫，如果服務器沒有這個文件都會在日誌裏記錄下來，這就是為什麼不要拿國內主機探測的原因了，他們記下你的IP後會很容易地找到你，隻要他想找你！！還有Scheduler日誌這也是個重要的LOG，你應該知道經常使用的srv.exe就是通過這個服務來啟動的，其記錄著所有由Scheduler服務啟動的所有行為，如服務的啟動和停止。

日誌文件默認位置：

應用程序日誌、安全日誌、係統日誌、DNS日誌默認位置：%systemroot%\system32\config，默認文件大小512KB，管理員都會改變這個默認大小。

安全日誌文件：%systemroot%\system32\config\SecEvent.EVT

係統日誌文件：%systemroot%\system32\config\SysEvent.EVT

應用程序日誌文件：%systemroot%\system32\config\AppEvent.EVT

Internet信息服務FTP日誌默認位置：%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個日誌

Internet信息服務WWW日誌默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日誌

Scheduler服務日誌默認位置：%systemroot%\schedlgu.txt

以上日誌在注冊表裏的鍵：

應用程序日誌，安全日誌，係統日誌，DNS服務器日誌，它們這些LOG文件在注冊表中的：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理員很可能將這些日誌重定位。其中EVENTLOG下麵有很多的子表，裏麵可查到以上日誌的定位目錄。

Schedluler服務日誌在注冊表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

FTP和WWW日誌詳解：

FTP日誌和WWW日誌默認情況，每天生成一個日誌文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日產生的日誌，用記事本就可直接打開，如下例：

#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）

#Version:1.0（版本1.0）

#Date:200010230315（服務啟動時間日期）

#Fields:timecipcsmethodcsuristemscstatus

0315127.0.0.1[1]USERadministator331（IP地址為127.0.0.1用戶名為administator試圖登錄）

0318127.0.0.1[1]PASS-530（登錄失敗）

032:04127.0.0.1[1]USERnt331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）

032:06127.0.0.1[1]PASS-530（登錄失敗）

032:09127.0.0.1[1]USERcyz331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）

0322127.0.0.1[1]PASS-530（登錄失敗）