首页 电脑 电脑学堂 查看内容

关于NT LOG记录

2004-9-29 20:05 1008 0

摘要: LOG文件允许你监控你系统的资源,这些资源包括文件,应用程序,网络连接, 硬件和其他的一些设备。对于排错和系统安全的发现有很大的帮助。这文章 不解释你怎样看你的LOG记录而是解释一些管理技以帮助你让你...
关键词: 系统 文件 一个 LOG 纪录 就是 目录 讯息 嘿嘿 方面

LOG文件允许你监控你系统的资源,这些资源包括文件,应用程序,网络连接, 硬件和其他的一些设备。对于排错和系统安全的发现有很大的帮助。这文章 不解释你怎样看你的LOG记录而是解释一些管理技以帮助你让你的LG文件在你 的控制掌握只下。 当然你首先要知道这些LOG记录都放在哪里? 在UNIX系统上,对于LOG的管理一般很集中化,你熟悉的UNIX系统的话,就应该 知道一个系统里的日志记录一般在某个目录下集中管理,如/var/log,或者 /var/adm等地方。在WINDOWS NT系统中,LOG文件就没有这样集中化了。NT系统中 有应用程序,系统和安全事件的EVENTLOG,对于INTERNET服务的LOG文件一般在于 C:\WINNT\system32\LogFiles目录下,其他NT服务有它们自己的目录以及第三方 的软件一般都把目录放在其自己的程序目录下。这样,一个管理员就不会经常去 查看这些分放在不同目录底下的应用程序目录。所以我们需要的是建立一个统一 的好的管理LOG策略。 一般来说最好的方法是把各个记录文件放在同一地方是最好的管理方式,个人认为, 分划一个分区来存储LOG文件是比较好的方法,这样就可以很方便的使用ACL控制, 和保持文件分离各个应用程序。当然,作为日志来将,你所划分的空间需要你很 好的估计,因为日志往往是吃空间大户。再设置到大多数组可以写访问此盘,而 对于读权限只能由管理员来访问。最后你再设置一个"current"目录。 好了,现在你有一个分区来存储你的LOG文件,现在的问题是在你的系统上有那些 LOG记录和怎样把你的那些应用程序系统放到你所指定的分区中去。 先说明下一些普通LOG文件和你怎样重定位它们: Eventlog--这些在NT中内建的事件LOG你可以通过EVENT VIEWER-事件查看器来查 看。这些LOG包括如应用程序LOG,安全LOG,系统LOG,DNS服务器LOG,目录服务, 和文件复制服务。它们这些LOG文件的重定位可以通过编辑注册表中的: HKLM\System\CurrentControlSet\Services\Eventlog 的键值来完成。其中EVENTLOG下面有很多的子表,里面你可而已查找你想定位 的LOG记录,找到一个KEY后在File属性下,设置每个文件保存在你所划分区的 "current"目录下。(编辑注册表有影响系统的危险,操作之前先保存注册表) 然后重新启动激活更改值。 关于INTERNET服务的记录--这些是你的WEB,FTP和INTERNET LOG文件记录。这些 是唯一可以被设置为循环记录的文件,因此它们的文件名是基于周期时间的记录。 为了改变这些文件的位置。编辑WEB和FTP的ROOT属性,选择LOG文件的属性,在 这里你可以把LOG文件设置到你所划分区的"current"目录下。 Schedule Logs --这是个重要的LOG,你需要经常查看。它是位于C:\WINNT\SchedLgU.Txt 下,其记录着所有由SCHEDULER服务启动的所有行为,如服务的启动和停止,你应该 知道很多攻击以后,有不少后门是通过这个服务来启动的,所以你应该仔细查找 这文件的里的内容,重新定位这个文件的位置,可以通过编辑下面的键值来完成: HKLM\SOFTWARE\Microsoft\SchedulingAgent Performance Logs --这些LOG是性能监视记录器建立的,它们可以通过编辑注册 表中的HKLM\System\CurrentControlSet\Services\SysmonLog的DefaultLogFileFolder 值来完成。 除上面的之外,你也需要查看下面的一些LOG文件: 应用程序LOG--一般来说你如果有第三方的WEB服务程序或者FTP,MAIL服务程序, 你也需要跟踪他们的LOG,并从注册表中更改他们记录重定向他你新的分区。 MODEM记录--一般来说你的机器可以多人使用的话,请记录这些记录。 发送MAIL记录--虽然这不是一个真正的LOG记录,但你需要定时检查这些记录或者 你编一个脚本来检查。 目录列表记录--这算不上一个传统的LOG记录,但安排每天的一些敏感目录列表 重定向到你的LOG分区是一个比较好的注意,如果有新的文件突然产生,你可以 跟踪它。它可以通过下面的方法来完成: dir C:\InetPub\wwwroot\ /S /B > [LogPartition]. 进程列表记录--你可以安排一些ps.exe,tlist.exe和其他一些免费进程列表软件 来监视你系统上的进程,并保存为文件。这样的好处是你可以比较方便的发现 一些木马程序或者未授权的应用程序在运行。当然你也可以使用netstat.exe来 定期的查看一些你机器上监听的端口。上面这些程序可以到下面的站点找到: http://www.sysinternals.com/ 最后你最好使用一个批处理文件来归档LOG文件,你可以把今天的LOG文件自动移 到另一个位置。要注意的是有些文件是不让你随意更改和移动的,你需要停止 这些关于产生这个LOG的进程来进行移动,如Scheduler service的LOG,你需要使用 Net stop scheduler,然后在移动LOG文件,再使用net start scheduler来启动。 当然你要查看需要你也可以使用一些事件查看工具把它们转化为ASCII文件。 所以这些只是一些事后的检查需要,要不被未授权访问,很好的对系统的保护是 必须的,这些问题的内容你可以参考其他方面的材料。 html源代码攻防战 function click() { if (event.button==2) {alert('*^_^*'); } } document.on_mouse_down=click // -- > 上面那段java_script源码想必你看得很眼熟吧? 对了,那就是蔽置右键的java_script. 但为什么要用到这段代码哪? 那当然就是不想给我们看你的html页面的源代码了.但本着我们的原则,不给看的我们就是要看,嘿嘿*^_^* 什么? 本来碰到禁右键的,一般的说法都是关JAVA,保存到硬盘再看,到Temporary Internet Files文件夹里去找等等...... 但好像都太麻烦了吧? 那么用菜单查看(Alt+v)--源文件(Alt+c)可以了吧? 但那样我弄个框架不就你只能看这个框架页的源代码吗? 但我可以看了框架页的源代码再去找我要看的那页的URL地址的,再...... 停停停!你这不是又饶回老路去了?还是一样麻烦!看样子没人看得了我主页的源代码了.哈哈. 你再看看前面的那段java_script呀! 嗯? (button==2)就是右键,那么(button==1)就是左键,(button==3)也就是两键同按.现在你还没把左键蔽掉了.嘿嘿*^_^* 哦,我试试,哎.到真是的.但左键和两键同按有什么用? 好好好,我教你.你先按左键,不要放开啊,再按右键也不要放开,然后放开左键,好,再放开右键.你看看?嘿嘿*^_^* 哈,真灵! 还有更灵的了,嘿嘿*^_^* 还有? 你按Shift+F10看看? 啊?这也行的啊! 嘿嘿*^_^* 那我如果做出的主页源代码不都给人看去了? 那就不是我管的事了,我只管看,不管怎么不给看,嘿嘿*^_^* 你你你...... 再说本来就是要提倡交流的,你窝着些没用的东西还不给人看? 那到是的.但源代码给人看了,你教我怎么加密html吧? 还舍不得啊?你想想,人人都像你一样,什么东西都要藏着,都要加密.那......哎!不敢想像! 有点道理. 你以后也不要老是研究这些没用的东西了,做主页不是要你自己一个人看的!还是想法把主页做得漂亮点,东西实用点才是正事! 好的. 下课,嘿嘿*^_^* 慢慢慢.就下课了?我知道你喜欢留一手的. 嗯?这你也知道?好吧好吧.说给你听了吧.这个真的不会有多少人想得到的.嘿嘿*^_^* 还好叫住你. 那就是在你键盘最下面一排从左数到右的第七个键...... 后记: 写这篇文章其实也不是出于什么目的,只是前不久正好研究了一下.觉得有点意思.虽然这篇文章的标题是--html源代码攻防战,但里面都是攻的,没有防的.主要是我只管看,不管怎么不给看,嘿嘿*^_^* 其实是懒!不过我即然把攻的方法说了说来.聪明人研究一下还是能想出防的办法的吧,嘿嘿*^_^* 其实我就是想不出怎么蔽Shift+F10才不写的.啊!怎么说着说着说漏了嘴?嗯,就到这了,这篇文章希望大家喜欢.下回我会写个长篇--《Trojan木马看过来》,应该说是不错的.第一篇是《Subseven一家子》.什么?你不知道Subseven是什么?啊?老兄啊!就是Sub7呀!quack写的>就是Sub7的使用方法.算了算了,反正你看了就知道了,嘿嘿*^_^* 附录: 最近和JAPAN干得很厉害.那么大家知不知道JAPAN也有Trojan的? 那就是xtcp,我本着为人民服务的精神,研究了一下. 这个东西是用VC++5.0写的.作者是うにゅん 端口是:5550 删除方法是: 注册表中: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Msgsv32"="C:\\WINDOWS\\SYSTEM\\winmsg32.exe" 请大家注意一下!当然,我想,让他们自食其果也不错的.嘿嘿*^_^* yagami 2000.2.8 系统安全策略----如何追踪入侵者 Post By Solo 重要观念:不管任何网路系统,均会有发信站与收信站。 入侵者的追踪(Intruder Tracing) 在区域网路上可能你听过所谓「广播模式」的资料发送方法,此种方法不指定收信站,只要和此网路连结的所有网路设备皆为收信对象。但是这仅仅在区域网路上能够实行,因为区域网路上的机器不多(和Internet比起来 )。如果象是Internet上有数千万的主机,本就不可能实施资料广播(至于IP Multicast算是一种限定式广播 Restricted Broadcast,唯有被指定的机器会收到,Internet上其他电脑还是不会收到)。假设Internet上可以实施非限定广播,那随便一个人发出广播讯息,全世界的电脑皆受其影响,岂不世界大乱?因此,任何区域网 路内的路由器或是类似网路设备都不会将自己区域网路内的广播讯息转送出去。万一在WAN Port收到广播讯息,也不会转进自己的LAN Port中。 而既然网路皆有发信站与收信站,用以标示信息发送者与信息接收者,除非对方使用一些特殊的封包封装方式或是使用防火墙对外连线,那么只要有人和你的主机进行通讯(寄信或是telnet、ftp过来都算) 你就应该会知道 对方的位址,如果对方用了防火墙来和你通讯,你最少也能够知道防火墙的位置。也正因为只要有人和你连线,你就能知道对方的位址,那么要不要知道对方位置只是要做不做的问题而已。如果对方是透过一台UNIX主机和你连线,则你更可以透过ident查到是谁和你连线的。 在实行TCP/IP通讯协定的电脑上,通常可以用netstat指令来看到目前连线的状况。(各位朋友可以在win95、Novell以及UNIX试试看(注一),在下面的连线状况中,netstat指令是在win95上实行的,可以看到目前自己机器(Local Address处)的telnetport有一台主机workstation.variox.int 由远端(Foreign Address处)连线进来并且配到1029号tcp port.而cc unix1主机也以ftpport连到workstation.variox.int去。所有的连线状况看得 一清二楚。(如A、B) A.在UNIX主机(ccunix1.variox.int)看netstat B.另一端在Windows95(workstation.variox.int)看netstat, 虽然是不同的作业系统,但netstat是不是长得很像呢?   通信过程的纪录设定 当然,如果你想要把网路连线纪录给记录下来,你可以用cron table定时去跑: netstat>>filename 但是UNIX系统早已考虑到这一个需求,因此在系统中有一个专职记录系统事件的Daemon:syslogd,应该有很多朋友都知道在UNIX系统的/var/adm下面有两个系统纪录档案:syslog与messages,一个是一般系统的纪录,一个是核心的纪录。但是这两个档案是从哪边来的,又要如何设定呢? 系统的纪录基本上都是由syslogd (System Kernel Log Daemon)来产生,而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西,以及记录到哪边去。下面是一个 Linux系统所附上的yslog.conf档案,这也是一个最标准的syslog.conf写法: 格式就是这样子,第一栏写「在什么情况下」以及「什么程度」。然后用TAB键跳下一栏继续写「符合条件以后要做什么」。这个syslog.conf档案的作者很诚实,告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。 第一栏包含了何种情况与程度,中间小数点分隔。另外,星号就代表了某一细项中的所有选项。详细的设定方式如下: 1.在什么情况:各种不同的情况以下面的字串来决定。 auth 关于系统安全与使用者认证方面 cron 关于系统自动排程执行(CronTable)方面 daemon 关于背景执行程式方面 kern 关于系统核心方面 lpr 关于印表机方面 mail 关于电子邮件方面 news 关于新闻讨论区方面 syslog 关于系统纪录本身方面 user 关于使用者方面 uucp 关于UNIX互拷(UUCP)方面 上面是大部份的UNIX系统都会有的情况,而有些UNIX系统可能会再分出不同的项目出来。 2.什么程度才记录: 下面是各种不同的系统状况程度,依照轻重缓急排列。 none 不要记录这一项 debug 程式或系统本身除错讯息 info 一般性资讯 notice 提醒注意性 err 发生错误 warning 警告性 crit 较严重的警告 alert 再严重一点的警告 emerg 已经非常严重了 同样地,各种UNIX系统可能会有不同的程度表示方式。有些系统是不另外区分crit与alert的差别,也有的系统会有更多种类的程度变化。在记录时,syslogd 会自动将你所设定程度以及其上的都一并记录下来。例如你要系统去记录 info等级的事件,则notice、err.warning、crit、alert、emerg等在info等级以上的也会一并被记录下来。 把上面所写的1、2项以小数点组合起来就是完整的「要记录哪些东西」的写法。例如 mail.info表示关于电子邮件传送系统的一般性讯息。auth.emerg就是关于系统安全方面相当严重的讯息。 lpr.none表示不要记录关于列表机的讯息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用: 1.星号(*) 星号代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为info的事件给记录下来。 2.等号(=)等号表示只记录目前这一等级,其上的等级不要记录。例如刚刚的例子,平常写下info等级时,也会把位于info等级上面的notice、err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。 3.惊叹号(!) 惊叹号表示不要记录目前这一等级以及其上的等级。 记录到哪边去? 一般的syslogd都提供下列的管道以供您记录系统发生的什么事: 1.一般档案 这是最普遍的方式。你可以指定好档案路径与档案名称,但是必须以目录符号「/」开始,系统才会知道这是 一个档案。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案 ,系统会自动产生一个。 2.指定的终端机或其他设备 你也可以将系统纪录写到一个终端机或是设备上。若将系统纪录写到终端机,则目前正在使用该终端机的使 用者就会直接在萤幕上看到系统讯息(例如/dev/console或是/dev/tty1.你可以拿一个萤幕专门来显示系统讯息 )。若将系统纪录写到印表机,则你会有一长条印满系统纪录的纸(例如/dev/lp0)。 3.指定的使用者 你也可以在这边列出一串使用者名称,则这些使用者如果正好上线的话,就会在他的终端机上看到系统讯息( 例如root,注意写的时候在使用者名称前面不要再加上其他的字)。 4.指定的远端主机 这种写法不将系统讯息记录在连接本地机器上,而记录在其他主机上。有些情况系统碰到的是硬碟错误,或是万一有人把主机推倒,硬碟摔坏了,那你要到哪边去拿系统纪录来看呢?而网路卡只要你不把它折断,应该是比硬碟机耐摔得多了。因此,如果你觉得某些情况下可能纪录没办法存进硬碟里,你可以把系统纪录丢到其他的主机上。如果你要这样做,你可以写下主机名称,然后在主机名称前面加上「@」符号(例如 @ccunix1.variox.int,但被你指定的主机上必须要有syslogd)。 在以上各种纪录方式中,都没有电子邮件这项。因为电子信件要等收件者去收信才看得到, 有些情况可能是很紧急的, 没办法等你去拿信来看(BSD的Manual Page写着「when you got mail,it’s already too late...」 :-P)。以上就是syslog各项纪录程度以及纪录方式的写法,各位读者可以依照自己的需求记录下自己所需要的内容。
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部