服务器日志清理及IIS日志的清理

服务器日志清理及IIS日志的清理服务器日志清理及IIS日志的清理服务器日志清理及IIS日志的清理服务器日志清理及IIS日志的清理首先介绍下日志的默认位置,只有我们知道了我们在服务器上留下的痕迹，才能擦除我们在计算机中留下的痕迹，而日志就是我们留下痕迹的位置所在。

安全日志文件：C：\WINDOWS\system32\config\SecEvent.Evt

系统日志文件：C:\WINDOWS\system32\config\SysEvent.Evt

应用程序日志文件：C：\WINDOWS\system32\config\AppEvent。Evt

FTP日志默认位置:C：\WINDOWS\system32\Logfiles\MSFTPSVC1

WWW日志默认位置：C:\WINDOWS\system32\Logfiles\W3SVC1

然而这些日志在系统正常运行的时候是不能被删除的.FTP和WWW服务可以先把这2个服务停止掉,然后再删除日志文件,但是安全，系统和应用程序的日志守护服务EventLog是没有办法停止的。那么有需要怎么清理呢？

因为手工这一步有这种困难不好进行.所以我们可以利用工具.这里我给大家讲的用到的工具是CL。这个工具可以清理IIS日志.FTP日志`。计划任务日志。系统日志。清理服务日志只需要执行

CL工具的清理命令

清理服务日志：cl-logfiles127.0。0。1(程序自动先把FTP。WWW。TaskScheduler服务停止再删除日志,然后再启动三个服务.）

清理系统日志:cl—enentlogall

此工具支持远程清理，当然前提必须是建立了管理员权限的IPC管理连接。

连接命令：netuse\\ip\ipc＄密码/user：用户名

然后用CL-LogFileIP对主机进行远程清理了.

============================================================================

对于IIS日志的清理

目前对于网站的入侵方式主要是注入,然后再提权拿下服务器，这样主要的日志痕迹都留在了IIS日志里,所以只需要把我们在IIS日志中的IP地址清楚掉就可以了.这样清理的话更不会让对方管理员起疑心.那么真的要我们把IIS服务停掉,然后用记事本打开日志文件一点一点改吗？当然不是了.只需要使用CleanIISLog工具就可以轻松搞定了.

CleanIISLog工具的用法:在CMD中执行CleanIISLog.IP地址就可以清楚所有IIS日志中有关IP的连接记录了,保留其它IP记录

当清楚成功后，CleanIISLog会在系统日志中将本身的运行记录清楚。如果IIS的日志文件不是默认的话,可以执行CleanIISLogIIS日志路径服务器IP地址来指定IIS日志的路径。注意：此工具只能在本地运行，而且必须具有Administrators权限。

windows系统日志分析一、Windows日志文件的保护日志文件对我们如此重要,因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。1．修改日志文件存放目录Windows日志文件默认路径是“%systemroot％system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。点击“开始→运行”，在对话框中输入“Regedit”,回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。笔者以应用程序日志为例,将其转移到“d：\cce”目录下。选中Application子项（如图），在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot％system32configAppEvent。Evt”,将它修改为“d：cceAppEvent.Evt"。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作，或建立一系列深目录以存放新日志文件，如D：\01\02\03\04\05\06\07,起名的原则就是要“越不起眼，越好”。

2．设置文件访问权限修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。右键点击D盘的CCE目录，选择“属性”,切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取"权限；然后点击“添加”按钮,将“System"账号添加到账号列表框中，赋予除“完全控制"和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。二、Windows日志实例分析在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。1．查看正常开关机记录在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005"。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。2．查看DHCP配置警告信息在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件.如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。详述Windows2000系统日志及删除方法\t"_blank”windows2000的日志文件通常有应用程序日志,安全日志、HYPERLINK”/"\t"_blank”系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测，就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等，用FTP探测后，也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库，如果服务器没有这个文件都会在日志里记录下来，这就是为什么不要拿国内主机探测的原因了，他们记下你的IP后会很容易地找到你,只要他想找你！！还有Scheduler日志这也是个重要的LOG，你应该知道经常使用的srv.exe就是通过这个服务来启动的，其记录着所有由Scheduler服务启动的所有行为，如服务的启动和停止.

日志文件默认位置：

应用程序日志、安全日志、系统日志、DNS日志默认位置：％systemroot％\system32\config，

默认文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent。EVT

系统日志文件：％systemroot％\system32\config\SysEvent。EVT

应用程序日志文件：%systemroot%\system32\config\AppEvent。EVT

Internet信息服务FTP日志默认位置：％systemroot％\system32\logfiles\msftpsvc1\,默认每天一个日志

Internet信息服务WWW日志默认位置:％systemroot％\system32\logfiles\w3svc1\，默认每天一个日志

Scheduler服务日志默认位置：%systemroot％\schedlgu.txt

以上日志在注册表里的键：

应用程序日志，安全日志，系统日志,DNS服务器日志，它们这些LOG文件在注册表中的：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录.

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

FTP和WWW日志详解：

FTP日志和WWW日志默认情况，每天生成一个日志文件,包含了该日的一切记录，文件名通常为ex（年份)(月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开，如下例：

#Software:MicrosoftInternetInformationServices5.0(微软IIS5。0）

＃Version：1.0（版本1.0）

#Date:200010230315（服务启动时间日期）

＃Fields：timecipcsmethodcsuristemscstatus

0315127。0.0.1[1]USERadministator331(IP地址为127.0。0.1用户名为administator试图登录)

0318127.0。0.1［1]PASS–530（登录失败）

032：04127。0.0.1[1］USERnt331（IP地址为用户名为nt的用户试图登录）

032：06127。0。0.1[1]PASS–530(登录失败）

032：09[1]USERcyz331(IP地址为127。0.0.1用户名为cyz的用户试图登录）

0322[1］PASS–530（登录失败）

0322127。0.0.1［1]USERadministrator331(IP地址为127.0。0.1用户名为administrator试图登录)

0324127。0.0。1［1］PASS–230（登录成功）

0321127.0。0。1[1]MKDnt550（新建目录失败）

0325127。0。0。1[1]QUIT–550(退出FTP程序）

从日志里就能看出IP地址为127.0。0.1的用户一直试图登录系统，换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名，如上例入侵者最终是用administrator用户名进入的，那么就要考虑更换此用户名的密码，或者重命名administrator用户。WWW日志：

WWW服务同FTP服务一样，产生的日志也是在%systemroot％\System32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件

＃Software：MicrosoftInternetInformationServices5。0

#Version：1.0

#Date:2000102303：091

#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent）

2000102303:091192。168。1。26192.168。1。3780GET/iisstart.asp200Mozilla/4。0+(compatible；+MSIE+5.0；+HYPERLINK”/"\t"_blank”windows+98；+DigExt)

2000102303:094192.168.1。26192。168.1。3780GET/pagerror。gif200Mozilla/4.0+(compatible；+MSIE+5。0；+Windows+98;+DigExt)

通过分析第六行，可以看出2000年10月23日，IP地址为192。168.1。26的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart。asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

既使你删掉FTP和WWW日志，但是还是会在taskscheduler"

下面的服务依赖于TaskScheduler服务。

停止TaskScheduler服务也会停止这些服务。

RemoteStorageEngine

是否继续此操作？（Y/N)[N]：y

RemoteStorageEngine服务正在停止。。..

RemoteStorageEngine服务已成功停止。

TaskScheduler服务正在停止。

TaskScheduler服务已成功停止.

OK，它的服务停掉了，同时也停掉了与它有依赖关系的服务。再来试着删一下！

D:\SERVER〉delschedlgu。txt

D:\SERVER>

没有反应？成功了！下一个是FTP日志和WWW日志,原理都是一样，先停掉相关服务，然后再删日志！

D:\SERVER\system32\LogFiles\MSFTPSVC1〉delex＊。log

D:\SERVER\system32\LogFiles\MSFTPSVC1〉

以上操作成功删除FTP日志！再来WWW日志！

D:\SERVER\system32\LogFiles\W3SVC1〉delex＊。log

D:\SERVER\system32\LogFiles\W3SVC1>

OK！恭喜，现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了，守护这些日志的服务是EventLog，试着停掉它！

D:\SERVER\system32\LogFiles\W3SVC1>netstopeventlog

这项服务无法接受请求的"暂停”