windows日志的保护与伪造

日志对于系统安全（服务器租用找：51033397）的作用是显而易见的，无论是网络管理员还是黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全（服务器租用找：51033397）性能，而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全（服务器租用找：51033397）和创建问题。

一、概述：Windows2000的系统日志文件有应用程序日志，安全（服务器租用找：51033397）日志、系统日志、DNS亿恩科技服务器日志等等，应用程序日志、安全（服务器租用找：51033397）日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB。

安全（服务器租用找：51033397）日志文件：%systemroot%\system32\config\SecEvent.EVT

系统日志文件：%systemroot%\system32\config\SysEvent.EVT

应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

这些LOG文件在注册表中的：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。

二、作为网络管理员

1、日志的安全（服务器租用找：51033397）配置

默认的条件下，日志的大小为512KB大小，如果超出则会报错，并且不会再记录任何日志。所以首要任务是更改默认大小，具体方法：注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统，安全（服务器租用找：51033397），应用程序等均有一个maxsize子键，修改即可。

下面给出一个来自微软站点的一个脚本，利用VMI来设定日志最大25MB,并允许日志自行覆盖14天前的日志：

该脚本利用的是WMI对象,WMI(WindowsManagementInstrumentation)技术是微软提供的Windows下的系统管理工具。通过该工具可以在本地或者管理客户端系统中几乎一切的信息。很多专业的网络管理工具都是基于WMI开发的。该工具在Win2000以及WinNT下是标准工具，在Win9X下是扩展安装选项。所以以下的代码在2000以上均可运行成功。

以下为引用的内容： 　　strComputer="." 　　SetobjWMIService=GetObject("winmgmts:"_ 　　&"{impersonationLevel=impersonate,(Security)}!\\"&_ 　　strComputer&"\root\cimv2")'获得VMI对象 　　SetcolLogFiles=objWMIService.ExecQuery_ 　　("Select*fromWin32_NTEventLogFile") 　　ForeachobjLogfileincolLogFiles 　　strLogFileName=objLogfile.Name 　　SetwmiSWbemObject=GetObject_ 　　("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:"_ 　　&"Win32_NTEventlogFile.Name='"&strLogFileName&"'") 　　wmiSWbemObject.MaxFileSize=2500000000 　　wmiSWbemObject.OverwriteOutdated=14 　　wmiSWbemObject.Put_ 　　Next

将上述脚本用记事本存盘为vbs为后缀的即可使用。

另外需要说明的是代码中的strComputer="."在windows脚本中的含义相当于localhost,如果要在远程亿恩科技主机上执行代码，只需要把"."改动为亿恩科技主机名，当然首先得拥有对方亿恩科技主机的管理员权限并建立IPC连接.本文中的代码所出现的strComputer均可作如此改动。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]