溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

如何實(shí)現(xiàn)windows系統(tǒng)日志分析

發(fā)布時(shí)間:2022-01-07 09:56:49 來(lái)源:億速云 閱讀:170 作者:柒染 欄目:系統(tǒng)運(yùn)維

如何實(shí)現(xiàn)windows系統(tǒng)日志分析,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來(lái)學(xué)習(xí)下,希望你能有所收獲。

一、Windows日志文件的保護(hù)

日志文件對(duì)我們?nèi)绱酥匾?,因此不能忽視?duì)它的保護(hù),防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。

1. 修改日志文件存放目錄

Windows日志文件默認(rèn)路徑是“%systemroot%system32config”,我們可以通過(guò)修改注冊(cè)表來(lái)改變它的存儲(chǔ)目錄,來(lái)增強(qiáng)對(duì)日志的保護(hù)。

點(diǎn)擊“開(kāi)始→運(yùn)行”,在對(duì)話(huà)框中輸入“Regedit”,回車(chē)后彈出注冊(cè)表編輯器,依次展開(kāi)“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System幾個(gè)子項(xiàng)分別對(duì)應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。

筆者以應(yīng)用程序日志為例,將其轉(zhuǎn)移到“d:\cce”目錄下。選中Application子項(xiàng)(如圖),在右欄中找到File鍵,其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”,將它修改為“d:cceAppEvent.Evt”。接著在D盤(pán)新建“CCE”目錄,將“AppEvent.Evt”拷貝到該目錄下,重新啟動(dòng)系統(tǒng),完成應(yīng)用程序日志文件存放目錄的修改。其它類(lèi)型日志文件路徑修改方法相同,只是在不同的子項(xiàng)下操作,或建立一系列深目錄以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原則就是要“越不起眼,越好”?!?/p>


2. 設(shè)置文件訪問(wèn)權(quán)限

修改了日志文件的存放目錄后,日志還是可以被清空的,下面通過(guò)修改日志文件訪問(wèn)權(quán)限,防止這種事情發(fā)生,前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。

右鍵點(diǎn)擊D盤(pán)的CCE目錄,選擇“屬性”,切換到“安全”標(biāo)簽頁(yè)后,首先取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)勾選。接著在賬號(hào)列表框中選中“Everyone”賬號(hào),只給它賦予“讀取”權(quán)限;然后點(diǎn)擊“添加”按鈕,將“System”賬號(hào)添加到賬號(hào)列表框中,賦予除“完全控制”和“修改”以外的所有權(quán)限,***點(diǎn)擊“確定”按鈕。這樣當(dāng)用戶(hù)清除Windows日志時(shí),就會(huì)彈出錯(cuò)誤對(duì)話(huà)框。

二、Windows日志實(shí)例分析

在Windows日志中記錄了很多操作事件,為了方便用戶(hù)對(duì)它們的管理,每種類(lèi)型的事件都賦予了一個(gè)惟一的編號(hào),這就是事件ID。

1. 查看正常開(kāi)關(guān)機(jī)記錄

在Windows系統(tǒng)中,我們可以通過(guò)事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開(kāi)、關(guān)機(jī)記錄,這是因?yàn)槿罩痉?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉,并在日志中留下記錄。這里我們要介紹兩個(gè)事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動(dòng),如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件,就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止,如果沒(méi)有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件,就表示計(jì)算機(jī)在這天沒(méi)有正常關(guān)機(jī),可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒(méi)有執(zhí)行正常的關(guān)機(jī)操作。

2. 查看DHCP配置警告信息

在規(guī)模較大的網(wǎng)絡(luò)中,一般都是采用DHCP服務(wù)器配置客戶(hù)端IP地址信息,如果客戶(hù)機(jī)無(wú)法找到DHCP服務(wù)器,就會(huì)自動(dòng)使用一個(gè)內(nèi)部的IP地址配置客戶(hù)端,并且在Windows日志中產(chǎn)生一個(gè)事件ID號(hào)為1007的事件。如果用戶(hù)在日志中發(fā)現(xiàn)該編號(hào)事件,說(shuō)明該機(jī)器無(wú)法從DHCP服務(wù)器獲得信息,就要查看是該機(jī)器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問(wèn)題。  

看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI