|
LOG文件允许你监控你系统的资源,这些资源包括文件,应用程序,网络连接, 硬件和其他的一些设备。对于排错和系统安全的发现有很大的帮助。这文章 不解释你怎样看你的LOG记录而是解释一些管理技以帮助你让你的LG文件在你 的控制掌握只下。 当然你首先要知道这些LOG记录都放在哪里? 在UNIX系统上,对于LOG的管理一般很集中化,你熟悉的UNIX系统的话,就应该 知道一个系统里的日志记录一般在某个目录下集中管理,如/var/log,或者 /var/adm等地方。在WINDOWS NT系统中,LOG文件就没有这样集中化了。NT系统中 有应用程序,系统和安全事件的EVENTLOG,对于INTERNET服务的LOG文件一般在于 C:\WINNT\system32\LogFiles目录下,其他NT服务有它们自己的目录以及第三方 的软件一般都把目录放在其自己的程序目录下。这样,一个管理员就不会经常去 查看这些分放在不同目录底下的应用程序目录。所以我们需要的是建立一个统一 的好的管理LOG策略。 一般来说最好的方法是把各个记录文件放在同一地方是最好的管理方式,个人认为, 分划一个分区来存储LOG文件是比较好的方法,这样就可以很方便的使用ACL控制, 和保持文件分离各个应用程序。当然,作为日志来将,你所划分的空间需要你很 好的估计,因为日志往往是吃空间大户。再设置到大多数组可以写访问此盘,而 对于读权限只能由管理员来访问。最后你再设置一个"current"目录。 好了,现在你有一个分区来存储你的LOG文件,现在的问题是在你的系统上有那些 LOG记录和怎样把你的那些应用程序系统放到你所指定的分区中去。 先说明下一些普通LOG文件和你怎样重定位它们: Eventlog--这些在NT中内建的事件LOG你可以通过EVENT VIEWER-事件查看器来查 看。这些LOG包括如应用程序LOG,安全LOG,系统LOG,DNS服务器LOG,目录服务, 和文件复制服务。它们这些LOG文件的重定位可以通过编辑注册表中的: the HKLM\System\CurrentControlSet\Services\Eventlog 的键值来完成。其中EVENTLOG下面有很多的子表,里面你可而已查找你想定位 的LOG记录,找到一个KEY后在File属性下,设置每个文件保存在你所划分区的 "current"目录下。(编辑注册表有影响系统的危险,操作之前先保存注册表) 然后重新启动激活更改值。 关于INTERNET服务的记录--这些是你的WEB,FTP和INTERNET LOG文件记录。这些 是唯一可以被设置为循环记录的文件,因此它们的文件名是基于周期时间的记录。 为了改变这些文件的位置。编辑WEB和FTP的ROOT属性,选择LOG文件的属性,在 这里你可以把LOG文件设置到你所划分区的"current"目录下。 Schedule Logs --这是个重要的LOG,你需要经常查看。它是位于C:\WINNT\SchedLgU.Txt 下,其记录着所有由SCHEDULER服务启动的所有行为,如服务的启动和停止,你应该 知道很多攻击以后,有不少后门是通过这个服务来启动的,所以你应该仔细查找 这文件的里的内容,重新定位这个文件的位置,可以通过编辑下面的键值来完成: HKLM\SOFTWARE\Microsoft\SchedulingAgent Performance Logs --这些LOG是性能监视记录器建立的,它们可以通过编辑注册 表中的HKLM\System\CurrentControlSet\Services\SysmonLog的DefaultLogFileFolder 值来完成。 除上面的之外,你也需要查看下面的一些LOG文件: 应用程序LOG--一般来说你如果有第三方的WEB服务程序或者FTP,MAIL服务程序, 你也需要跟踪他们的LOG,并从注册表中更改他们记录重定向他你新的分区。 MODEM记录--一般来说你的机器可以多人使用的话,请记录这些记录。 发送MAIL记录--虽然这不是一个真正的LOG记录,但你需要定时检查这些记录或者 你编一个脚本来检查。 目录列表记录--这算不上一个传统的LOG记录,但安排每天的一些敏感目录列表 重定向到你的LOG分区是一个比较好的注意,如果有新的文件突然产生,你可以 跟踪它。它可以通过下面的方法来完成: dir C:\InetPub\wwwroot\ /S /B > [LogPartition]. 进程列表记录--你可以安排一些ps.exe,tlist.exe和其他一些免费进程列表软件 来监视你系统上的进程,并保存为文件。这样的好处是你可以比较方便的发现 一些木马程序或者未授权的应用程序在运行。当然你也可以使用netstat.exe来 定期的查看一些你机器上监听的端口。上面这些程序可以到下面的站点找到: http://www.sysinternals.com/ 最后你最好使用一个批处理文件来归档LOG文件,你可以把今天的LOG文件自动移 到另一个位置。要注意的是有些文件是不让你随意更改和移动的,你需要停止 这些关于产生这个LOG的进程来进行移动,如Scheduler service的LOG,你需要使用 Net stop scheduler,然后在移动LOG文件,再使用net start scheduler来启动。 当然你要查看需要你也可以使用一些事件查看工具把它们转化为ASCII文件。 所以这些只是一些事后的检查需要,要不被未授权访问,很好的对系统的保护是 必须的,这些问题的内容你可以参考其他方面的材料。 | 