关于win2k的日志！

无痕

读win2k的日志对于每一个网络管理员来说是家常便饭了，甚至可以说，它就是你每天早上打开电脑后的第一件要事，但是，个人上网用户很少有人去注意安全日志，下面我简要谈谈win2k的日志，呵呵~~其实上面十三已经说的很详细了~~
1。系统自带日志
  进入控制面板，选择“事件管理器‘，打开事件管理器，你可以看到三类日志：应用程序日志，安全日  志和系统日志（如果你的win2k是svr以上版本，并且是域控制器的话，还会有一个DNS日志）
（1）应用程序日志主要记录一些重要应用程序所产生的错误或成功信息，
     需要注意的是，这里所指的应用程序不仅包刮了第三方软件，还包刮一
     些win2k系统中的一些应用程序
（2）系统日志主要记录win2k操作系统的组件所产生的日志，例如IIS自带
       的ftp，由于IIS属于windows组件的一部分，所以其中的ftp必然也属
      于windows的组件
（3）安全日志记录的是一些安全事件,例如，给你的某个磁盘针对某个或某组用户增加了审核之后，
     就可以通过日志来观察该用户或该用户组对磁盘的操作情况，另外，还有指定的用户或组的登陆情     况等
  很多人认为读日志是件比较简单的事情，毕竟微软的日志还是比较明了的，有很多的文字叙述，但是
  很多人却往往忽略了另外一些看起来不重要的东西
  日志中，我们最先读的一般是其描述，除此，还有几个需要注意的：日期，来源，类型和事件ID，
  至于计算机，对于个人用户来说，一般都是本地计算机了。
  日期：如果是被入侵，从这里可以推断出时间，有的时候掌握被攻击或入侵的时间是很重要的
        例如：你被网页上的恶意代码给黑掉了，通过时间结合windows缓存中的网页文件，就
        可以确定是哪个网站黑的你
  来源：要解决问题至少要先知道是什么程序出了问题吧
  类型：分为信息、警告、错误三种
  事件ID：这是最容易被大家忽视的地方，微软为每个事件都规定了不同的事件ID。所以当你无法理解
          日志中所记录的错误或其他信息时可以到微软的技术支持站点去搜索这个事件ID，就可以获得
          解决的方案
   
2。解读IIS日志
   上面的方法是针对win2k系统自带的日志工具而言的，而windows的一大组件IIS其自身也带有日志功能
   首先，我们要确定IIS日志的位置：C:\WINNT\system32\LogFiles 在这个目录下，所有目录都是用来   存放日志文件的。由于我实验时只启动了ftp和web server两个服务，所以这里有两个文件夹，  MSFTPSVR1和W3SVC1，这两个文件夹分别对应了ftp和web服务的日志
  随意打开一个文件夹，会发现一些log文件，命名方式为：ex031028.log，这些文件名是以产生时间来
  命名的，也就是说我们可以确定该日志和生成时间为：2003年10月28日
  打开文件后，读取一条，内容为：
  2003-10-28 09:30:25 192.168.0.1 - 192.168.0.2 80 GET /test.txt - 200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0).
  这个过程的意思就是：192.168.0.1的主机向本机（地址为192.168.0.2）的80端口（默认的web服务端口）提交get请求，要求查看test.txt。
  其实在浏览器上就表现为:http://192.168.0.2/test.txt
  然后继续看后面，需要细看的只有一个地方，那就是数字200，这是一个返回码，代表访问成功
  另外，还有其他代码，例如“403”这样的代码是我们经常看见的。大家可以到c:\winnt\help\iishelp\common下查看，该目录中会有一些
  名如400.htm这样的网页文件，这些文件对应着每个错误代码对应的页面，当有人访问时，产生了错误
  代码为400的情况时，那么IIS将自动将页面转向该目录下的400.htm的页面，有兴趣的朋友可以研究一下这些代码代表的错误信息
  至于ftp日志的查看方法与web服务的日志查看方法类似，就不多说了
3。加强日志
  光靠系统默认的这些日志是不够的，我们还要增加其他日志，比如前面说到的审核，增加了适当的审核之后，在安全日志中会有更多的日志和相关信息
  进入控制面板，打开管理工具--->本地安全策略，选择“本地策略-->审核策略-->审核用户登陆事件”
  双击打开。将成功和失败都选上，确定。这样就对用户的登陆成功和失败都加上了审核，会发现在安全日志中多了一条日志，描述内容包括
  为登陆所用的帐户，帐户名，工作站。。。
  其他一些审核与此类似，不再多说
  这里我要说一下“审核对象访问”，因为这个审核要配合NTFS磁盘来使用，只有在NTFS磁盘上进行设置并且保证该项开启才能使用
  首先，还是在本地安全策略中设置审核对象访问，将成功和失败都选上，然后，找一个NTFS磁盘，右击鼠标，
  属性-->安全-->高级-->审核，点击添加，只要选择你想要添加审核的用户就好了，然后会出现选择审核的内容，视情况设置
  在安全日志中就会出现审核的结果，具体的就不多说了，日志也很容易读懂
  除了使用win2k的审核外，最好的方法就是使用第三方软件来加强我们的日志了，在防御上主要是防火墙类软件，也不多说，以后我们会介绍
好了，话题就说到这儿，哎，手指都快敲断了，但原大家能够有所了解。。。

hnsxpx555

楼主是不是从网上下了好多电脑方面的资料呀，帮你顶一下！

布丁

太难懂了。。