为日志文件搬家(1)


在Windows 2000中,日志文件就是系统的日记,它能按照既定的设置来记录所发生的事件,包括应用程序日志、安全日志和系统日志三类,分别对应于AppEvent.Evt、SecEvent.Evt和SysEvent.Evt三个文件,默认存放于C:\WINNT\system32\config文件夹中。当系统发生一些大大小小的故障时,有经验的网管会从这些日志文件中找到一些蛛丝马迹,特别是一些与安全有关的网络入侵证据可从中找到相关的IP地址、登录账号等信息)。
同样,稍稍有些头脑的黑客也深知此点,所以为了防止被抓住把柄,他们一般会在撤退时用工具或直接手工来清除所有的日志内容这样的行为俗称“擦脚印”或“擦PP”等),或者干脆造份假日志等。因此对于日志文件的保护一定要慎重,比较可行的简易方法是为日志文件搬家,更改其默认的路径到别人想不到的地方。
1.默认的路径

 
图1 应用程序属性窗口

依次打开“控制面板→管理工具→计算机管理”,选中左侧窗格中的“事件查看器”,下面就出现“应用程序”、“安全性”和“系统”三项。以第一项“应用程序”为例,在上面点击鼠标右键,“属性”如图1),在“日志名称”处明白地显示出Windows 2000的默认日志目的文件夹:“C:\WINNT\system32\config\AppEvent.Evt”。


相关内容