Windows 日誌分析

使用方式

開始-程序-管理工具-計算機管理-系統工具-事件查看器。
然後開始清理日誌。

各項日誌說明

Windows 2000 的日誌文件通常包括以下日誌,當然以下不完全：

1. 應用程序日誌
2. 安全日誌
3. 系統日誌
4. DNS服務器日誌
5. FTP日誌
6. WWW日誌

日誌文件的默認位置

應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置： %systemroot%system32config,默認文件大小爲512KB，管理員一般都會改變這個默認大小。

安全日誌文件:%systemroot%system32configSecEvent.EVT

系統日誌文件:%systemroot%system32configSysEvent.EVT

應用程序日誌文件:%systemroot%system32configAppEvent.EVT

Internet信息服務FTP日誌文件:%systemroot%system32logfilesmsftpsvc1，默認每天一個日誌

Internet信息服務WWW日誌文件:%systemroot%system32logfilesw3svc1，默認每天一個日誌

Scheduler服務日誌:%systemroot%schedlgu.txt

以上日誌在註冊表中的鍵

應用程序日誌、安全日誌、系統日誌、DNS服務器日誌，他們這些LOG在註冊表中的:

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多子表，裏面可以查到以上日誌的定位目錄。

Schedluler服務日誌在註冊表中的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

FTP與WWW日誌詳解

FTP日誌

FTP與WWW日誌默認情況，每天生成一個日誌文件，包含了該日的一切記錄，文件名通常爲ex(年份)(月份)(日期)，例如ex001023，就是2000年10月23日產生的日誌，用記事本就可以打開，假設如下所示。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

#Software: Microsoft Internet Infomation Services 5.0 (微軟IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服務啓動時間日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administrator 331 (ip地址爲127.0.0.1用戶名爲 administrator 的用戶試圖登錄) 0318 127.0.0.1 [1]PASS -530 (登錄失敗) 032:04 127.0.0.1 [1]USER nt 331 (ip地址爲127.0.0.1用戶名爲 nt 的用戶試圖登錄) 032:06 127.0.0.1 [1]PASS -530 (登錄失敗) 032:09 127.0.0.1 [1]USER cyz 331 (ip地址爲127.0.0.1用戶名爲 cyz 的用戶試圖登錄) 0322 127.0.0.1 [1]PASS -530 (登錄失敗) 0322 127.0.0.1 [1]USER administrator 331 (ip地址爲127.0.0.1用戶名爲 administrator 的用戶試圖登錄) 0324 127.0.0.1 [1]PASS -230 (登錄成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目錄失敗) 0325 127.0.0.1 [1]QUIT -550 (推出FTP)

從日誌可以看到IP地址爲127.0.0.1的用戶一直在試圖登錄系統，換了四次用戶名和密碼才成功，管理員立即就可以得知攻擊者的入侵時間，IP地址以及探測的用戶名，如上例入侵者最終是使用administrator登錄的，那麼就要考慮更換此用戶的密碼，或更改用戶名。

WWW日誌

WWW服務同FTP服務一樣，產生的日誌也是在%systemroot%system32LogFilesW3SVC1目錄下，默認是每天一個日誌文件，下面例舉一個典型的WWW日誌文件。

1 2 3 4 5 6 7 8

#Software: Microsoft Internet Infomation Services 5.0 (微軟IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服務啓動時間日期) #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)

第一條記錄是，2000年10月23日，IP地址爲192.168.1.26的客戶通過訪問192.168.1.37服務器的80端口，查看了一個iisstart.asp的頁面，這個用戶的瀏覽器爲Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)，有經驗的管理員可以通過安全日誌、FTP日誌和WWW日誌來確定攻擊者的IP。

即使刪除了FTP日誌和WWW日誌，但是還是會在系統日誌和安全日誌中記錄下來，較好的是隻顯示了你的機器名，並沒有IP地址。

屬性裏記錄了出現警告的原因，是因爲有人試圖用administrator用戶名登錄，出現了一個錯誤，來源是FTP服務。

這裏有兩種圖標：鑰匙（表示成功）和鎖（表示當用戶在做什麼時被系統停止）。接連四個鎖圖標，表示四次失敗審覈，事件類型是帳戶登錄和登錄註銷失敗。

雙擊第一個失敗審覈事件，可以獲得這個事件的詳細描述。

經過分析我們可以得知有一個名爲CYZ的工作站，用administrator的用戶名登錄本機，但是因爲用戶名未知或密碼錯誤（實際上是密碼錯誤）未能成功。另外還有DNS服務器日誌，這裏暫略。

日誌清理

通過上面，得知日誌文件通常有某項服務在後臺保護，除了系統日誌、安全日誌、應用程序日誌等等，它們的服務是Windos2000的關鍵進程，而且與註冊表文件在一塊，當Windows2000啓動後，啓動服務來保護這些文件，所以很難刪除，而FTP日誌、WWW日誌和Scedlgu日誌都可以輕易刪除。

首先要獲取Administrator密碼或Administrator用戶組成員之一，然後Telnet遠程連接

1 2 3

del schedlgu.txt # 如果無法刪除，先停止正在 使用此文件的進程 net stop "task scheduler"

分別進入FTP和WWW的目錄

1	del ex*.log

停止系統日誌的守護進程

1	net stop eventlog

其他常見工具

clearlog.exe

這裏我們介紹一個工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 應用程序日誌
-sec = 安全日誌
-sys = 系統日誌
a. 可以清除遠程計算機的日誌
先用ipc連接上去: net use \ipipc$ 密碼/user:用戶名 然後開始清除: 方法
clearlogs \ip -app 這個是清除遠程計算機的應用程序日誌
clearlogs \ip -sec 這個是清除遠程計算機的安全日誌
clearlogs \ip -sys 這個是清除遠程計算機的系統日誌
b.清除本機日誌: 如果和遠程計算機的不能空連接. 那麼就需要把這個工具傳到遠程計算機上面
然後清除. 方法:
　
clearlogs -app 這個是清除遠程計算機的應用程序日誌
clearlogs -sec 這個是清除遠程計算機的安全日誌
clearlogs -sys 這個是清除遠程計算機的系統日誌

c.bat

1 2 3 4 5 6 7 8 9

rem ============================== 開始 @echo off clearlogs -app clearlogs -sec clearlogs -sys del clearlogs.exe del c.bat exit rem ============================== 結束

在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程序日誌
第三行表示: 清除安全日誌
第四行表示: 清除系統日誌
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出

用AT命令. 建立一個計劃任務. 這個命令在原來的教程裏面和雜誌裏面都有. 你可以去看看詳細的使用方法
AT 時間 c:c.bat

cleaniis.exe

工具:cleaniis.exe

使用方法:

1 2 3

iisantidote <logfile dir> <ip or string to hide> iisantidote <logfile dir><ip or string to hide> stop stop opiton will stop iis before clearing the files and restart it after

< logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解釋:
cleaniis.exe iis日誌存放的路徑 清除參數
什麼意思呢？？我來給大家舉個例子吧：
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
這個表示清除log中所有此IP(192.168.0.1)地址的訪問記錄. —–推薦使用這種方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
這個表示清除這個目錄裏面的所以的日誌
c:winntsystem32logfilesw3svc1 代表是iis日誌的位置(windows nt/2000) 這個路徑可以改變
c:windowssystem32logfilesw3svc1 代表是iis日誌的位置(windows xp/2003) 這個路徑可以改變
這個測試表示 在日誌裏面沒有這個ip地址.
我們看一下日誌的路徑 再來看一下
我們的ip(192.168.0.1)已經沒有了.
已經全部清空. 同樣這個也可以建立批處理. 方法同上面的那個

清除歷史記錄及運行的日誌

cleaner.exe
直接運行就可以了

參考資料

[1] 日誌分析-1
[2] 日誌分析-2
[3] 日誌分析-3 對抗