文章內容

Widnows日志文件分析

發布時間: 2012/6/23 18:18:55

日志文件，它記錄著Windows系統及其各種服務運行的每個細節，對增強Windows的穩定和安全性，起著非常重要的作用。但許多用戶不注意對它保護，一些“不速之客”很輕易就將日志文件清空，給系統帶來嚴重的安全隱患。
　　一、什么是日志文件
　　日志文件是Windows系統中一個比較特殊的文件，它記錄著Windows系統中所發生的一切，如各種系統服務的啟動、運行、關閉等信息。Windows日志包括應用程序、安全、系統等幾個部分，它的存放路徑是“%systemroot%\system32\config”，應用程序日志、安全日志和系統日志對應的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log（事件記錄）”服務的保護不能被刪除，但可以被清空。
　　二、如何查看日志文件
　　在Windows系統中查看日志文件很簡單。點擊“開始→設置→控制面板→管理工具→事件查看器”，在事件查看器窗口左欄中列出本機包含的日志類型，如應用程序、安全、系統等。查看某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細信息，這樣我們就能準確的掌握系統中到底發生了什么事情，是否影響Windows的正常運行，一旦出現問題，即時查找排除。
　　三、Windows日志文件的保護
　　日志文件對我們如此重要，因此不能忽視對它的保護，防止發生某些“不法之徒”將日志文件清洗一空的情況。
　　1、修改日志文件存放目錄
　　Windows日志文件默認路徑是“%systemroot%\system32\config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。
　　點擊“開始→運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System幾個子項分別對應應用程序日志、安全日志、系統日志。
　　以應用程序日志為例，將其轉移到“d:\cce”目錄下。選中Application子項（如圖），在右欄中找到File鍵，其鍵值為應用程序日志文件的路徑“%SystemRoot%\system32\config\AppEvent.Evt”，將它修改為“d:\cce\AppEvent.Evt”。接著在D盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，完成應用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作。
　　2．設置文件訪問權限
　　修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權限，防止這種事情發生，前提是Windows系統要采用NTFS文件系統格式。
　　右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權限，最后點擊“確定”按鈕。這樣當用戶清除Windows日志時，就會彈出錯誤對話框。
　　四、Windows日志實例分析
　　在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。
　　1．查看正常開關機記錄
　　在Windows系統中，我們可以通過事件查看器的系統日志查看計算機的開、關機記錄，這是因為日志服務會隨計算機一起啟動或關閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件查看器中發現某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件日志服務已停止，如果沒有在事件查看器中發現某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。
　　2．查看DHCP配置警告信息
　　在規模較大的網絡中，一般都是采用DHCP服務器配置客戶端IP地址信息，如果客戶機無法找到DHCP服務器，就會自動使用一個內部的IP地址配置客戶端，并且在Windows日志中產生一個事件ID號為1007的事件。如果用戶在日志中發現該編號事件，說明該機器無法從DHCP服務器獲得信息，就要查看是該機器網絡故障還是DHCP服務器問題。
　　五、WEB日志文件分析
　　以下列日志記錄為例，進行分析：
　　#Software: Microsoft Internet Information Services 6.0
　　#Version: 1.0
　　#Date: 2006-09-24 07:19:27
　　#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /index.asp - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/css.css - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/1.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/home_top_new2.jpg - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
　　分析：
　　date表示記錄訪問日期；
　　time訪問時間；
　　s-sitename表示你的虛擬主機的代稱。
　　s-ip；服務端ip
　　cs-method表示訪問方法，常見的有兩種，一是GET，就是平常我們打開一個URL訪問的動作，二是POST，提交表單時的動作；
　　cs-uri-stem就是訪問哪一個文件；
　　cs-uri-query是指訪問地址的附帶參數，如asp文件后面的字符串id=12等等，如果沒有參數則用-表示；
　　s-port 訪問的端口
　　cs-username 訪問者名稱
　　c-ip訪問者IP
　　cs(User-Agent)訪問來源；
　　sc-status狀態，200表示成功，403表示沒有權限，404表示打不到該頁面，500表示程序有錯；
　　sc-substatus 服務端傳送到客戶端的字節大小；
　　cs–win32-statu客戶端傳送到服務端的字節大小；
　　1**：請求收到，繼續處理
　　2**：操作成功收到，分析、接受
　　3**：完成此請求必須進一步處理
　　4**：請求包含一個錯誤語法或不能完成
　　5**：服務器執行一個完全有效請求失敗
　　100——客戶必須繼續發出請求
　　101——客戶要求服務器根據請求轉換HTTP協議版本
　　200——交易成功
　　201——提示知道新文件的URL
　　202——接受和處理、但處理未完成
　　203——返回信息不確定或不完整
　　204——請求收到，但返回信息為空
　　205——服務器完成了請求，用戶代理必須復位當前已經瀏覽過的文件
　　206——服務器已經完成了部分用戶的GET請求
　　300——請求的資源可在多處得到
　　301——刪除請求數據
　　302——在其他地址發現了請求數據
　　303——建議客戶訪問其他URL或訪問方式
　　304——客戶端已經執行了GET，但文件未變化
　　305——請求的資源必須從服務器指定的地址得到
　　306——前一版本HTTP中使用的代碼，現行版本中不再使用
　　307——申明請求的資源臨時性刪除
　　400——錯誤請求，如語法錯誤
　　401——請求授權失敗
　　402——保留有效ChargeTo頭響應
　　403——請求不允許
　　404——沒有發現文件、查詢或URl
　　405——用戶在Request-Line字段定義的方法不允許
　　406——根據用戶發送的Accept拖，請求資源不可訪問
　　407——類似401，用戶必須首先在代理服務器上得到授權
　　408——客戶端沒有在用戶指定的餓時間內完成請求
　　409——對當前資源狀態，請求不能完成
　　410——服務器上不再有此資源且無進一步的參考地址
　　411——服務器拒絕用戶定義的Content-Length屬性請求
　　412——一個或多個請求頭字段在當前請求中錯誤
　　413——請求的資源大于服務器允許的大小
　　414——請求的資源URL長于服務器允許的長度
　　415——請求資源不支持請求項目格式
　　416——請求中包含Range請求頭字段，在當前請求資源范圍內沒有range指示值，請求也不包含If-Range請求頭字段
　　417——服務器不滿足請求Expect頭字段指定的期望值，如果是代理服務器，可能是下一級服務器不能滿足請求
　　500——服務器產生內部錯誤
　　501——服務器不支持請求的函數
　　502——服務器暫時不可用，有時是為了防止發生系統過載
　　503——服務器過載或暫停維修
　　504——關口過載，服務器使用另一個關口或服務來響應用戶，等待時間設定值較長
　　505——服務器不支持或拒絕支請求頭中指定的HTTP版本
　　FTP日志分析
　　FTP日志和WWW日志在默認情況下，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日產生的日志，用記事本可直接打開，普通的有入侵行為的日志一般是這樣的：
　　#Software: Microsoft Internet Information Services 5.0（微軟IIS5.0）
　　#Version: 1.0 （版本1.0）
　　#Date: 20040419 0315 （服務啟動時間日期）
　　#Fields: time cip csmethod csuristem scstatus
　　0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1用戶名為administator試圖登錄）
　　0318 127.0.0.1 [1]PASS – 530（登錄失敗）
　　032:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄）
　　032:06 127.0.0.1 [1]PASS – 530（登錄失敗）
　　032:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄）
　　0322 127.0.0.1 [1]PASS – 530（登錄失敗）
　　0322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1用戶名為administrator試圖登錄）
　　0324 127.0.0.1 [1]PASS – 230（登錄成功）
　　0321 127.0.0.1 [1]MKD nt 550（新建目錄失敗）
　　0325 127.0.0.1 [1]QUIT – 550（退出FTP程序）
　　從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統，換了四次用戶名和密碼才成功，管理員立即就可以得知這個ＩＰ至少有入侵企圖！而他的入侵時間、IP地址以及探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用Administrator用戶名進入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系統出什么問題了。