本实验分为两个任务,依次为:(1)日志查看;(2)日志清理。
日志查看
(1)启动Windows实验台,点击:开始-控制面板-管理工具-事件查看器。如下图所示。
(2)应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。例如选中“应用程序”右键属性,如下图:
选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。或者点击属性页面的筛选器标签,日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录
(3)查看www和ftp日志文件夹下的日志文件
(由于实验环境中不允许访问互联网,无法操作得出日志文件。请参考指导书使用个人电脑进行实验。)
尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录如下图。
日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一定的防护措施。
ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的操作。
(4)计划任务日志
打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。
日志清除
(1)删除事件查看器中的日志
主机下载使用elsave清除日志工具
先用ipc$管道进行连接,在cmd命令提示符下输入netuse\\对方IP(实验台IP)\ipc$"密码"/user:"用户名";
连接成功后,开始进行日志清除。
清除目标系统的应用程序日志输入elsave.exe-s\\对方ip-l"application"-C
清除目标系统的系统日志输入elsave.exe-s\\对方IP-l"system"-C
清除目标系统的安全日志输入elsave.exe-s\\对方IP-l"security"-C
输入如下图
回车后可以查看远程主机内的系统日志已经被删除了
(2)删除常见服务日志
IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。
手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后(也可直接在实验台中操作),cmd下切换到这个目录下,然后del*.*。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net命令停止服务如下:
C:\>netstopw3svc
WorldWideWebPublishingService服务正在停止。
WorldWideWebPublishingService服务已成功停止。
日志w3svc停止后,然后清空它的日志,del*.*
C:\>netstartw3svc
清除ftp日志,日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。
(3)删除计划任务日志
先来删除计划任务日志:
在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks),删除schedlgu.txt,提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入netstopschedule;
下面的服务依赖于TaskScheduler服务。停止TaskScheduler服务也会停止这些服务。
RemoteStorageEngine
TaskScheduler服务正在停止.TaskScheduler服务已成功停止。
如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt;
删除后需要再次启动该任务以便主机能够正常工作,输入netstartschedule: