当前页面位置: » 丰搜网 » 文档中心 » 详细内容
“细心呵护”windows日志文件
windows日志文件记录着系统中各项服务的每一个细节,如系统的启动、运行、关闭等信息,它对windows系统的稳定和安全,起到至关重要的作用。我们通过查看windows日志,可以即时找出系统出现故障的原因。但往往也容易忽视对日志文件的保护,有些“不法之徒”成功入侵你的机器后,日志文件被清洗一空,使我们无从下手,找出系统漏洞所在。如何保护windows日志文件呢?成为大家瞩目的焦点。下面跟笔者一起来吧!细心呵护我们的windows日志。
修改日志文件路径
众所周知,windows日志文件默认位置是“%systemroot%\system32\config”,它包括应用程序日志、安全日志、系统日志等,对应的日志文件分别为appevent.evt、secevent.evt和sysevent.evt。虽然这些文件受到“event log”服务的保护不能被删除,但可以被清空。为了保护这些日志文件完整性,可以使用注册表编辑器修改日志文件的存放路径。
点击“开始→运行”,在运行对话框输入“regedit”命令,弹出注册表编辑器窗口,依次展开“hkey_local_machine\system\currentcontrolset\services\eventlog”项,下面存在的application、security、system几个子键分别对应“应用程序日志、安全日志、系统日志”。下面以应用程序日志为例,介绍如何修改日志文件路径。
选中“application”子键,在右侧框中找到“file”项,双击打开,它的键值就是“应用程序日志”文件的路径,默认为“%systemroot%\system32\config\appevent.evt”。下面将其值修改为“c:\cpcw\appevent.evt”。接着在c盘根目录下新建一个“cpcw”目录,然后将“appevent.evt”拷贝到该目录下,重新启动系统后,就完成应用程序日志文件路径的修改。其它日志文件路径修改方法相同,就不再赘述了。
我的日志你别动
通过修改日志文件的路径,虽然可以增强windows日志的安全性,但依然没有改变被某些日志清除工具清空日志的命运。ntfs是大家常用的文件系统格式,下面我们就可以利用ntfs提供的访问控制列表(acl)功能保护windows日志。
由于原日志文件存放路径“%systemroot%\system32\config”文件夹的特殊性,我们无法修改其访问权限。因此必须完成第一部分的“修改日志文件路径”操作。
右键点击存放日志文件的cpcw目录,在弹出菜单中选择“属性”,切换到“安全”标签页,取消“允许将来自父系的可继承权限传播给该对象”选项勾选后,弹出安全对话框,点击“复制”按钮。接着在安全标签页中选中“everyone”账号(图1),只给它赋予“读取”权限;然后点击“添加”按钮,将“system”账号添加到列表框中,对该账号赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。
图 1
修改后,当我们在“事件查看器”中试图清除windows日志时,就会弹出错误对话框,拒绝清除操作(图2),对某些日志清除工具同样也有效。如果我们自己想清空windows日志,只要赋予相应账号对cpcw目录“修改”权限即可。
图 2
存储海量日志记录
日志文件默认只有512kb,因此存储的日志记录信息有限,一旦有人攻击,致使日志文件超过指定大小,导致停止记录,这种事情的发生也是很可怕的。因此增加日志文件的容量,同样可以增强windows日志的安全。
如要修改应用程序日志容量为30mb,在“事件查看器”窗口中,右键点击“应用程序”选项,在弹出的菜单中选择“属性”,接着在“日志大小”框中找到“最大日志文件大小”项目,将默认的512kb修改为30720kb(图3),最后点击“确定”按钮即可。
图 3
定期备份日志习惯好
很多朋友都有定期备份重要数据的好习惯,备份windows日志文件也同样重要。我们可以利用windows资源工具箱提供的“dumpel.exe”命令实现。
