日志文件，它记录着

Windows

系统及其各种服务运行的每个细节，对增强

Windows

的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些

―

不速之

客

‖

很轻易就将日志文件清空，给系统带来严重的安全隐患。

一、什么是日志文件

日志文件是

Windows

系统中一个比较特殊的文件，

它记录着

Windows

系统中所

发生的一切，如各种系统服务的启动、运行、关闭等信息。

Windows

日志包括应用

程序、安全、系统等几个部分，它的存放路径是

―%systemroot%

\system32\

config‖

，

应用程序日志、安全日志和系统日志对应的文件名为

AppEvent.evt

、

SecEvent.evt

和

SysEvent.evt

。这些文件受到

―Event Log

（事件记录）

‖

服务的保护不能被删除，但可

以被清空。

二、如何查看日志文件

在

Windows

系统中查看日志文件很简单。点击

―

开始

→

设置

→

控制面板

→

管理

工具

→

事件查看器

‖

，

在事件查看器窗口左栏中列出本机包含的日志类型，

如应用程

序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，

如应用程序，

接着在右栏中列出该类型日志的所有记录，

双击其中某个记录，

弹出

―

事

件属性

‖

对话框，

显示出该记录的详细信息，

这样我们就能准确的掌握系统中到底发

生了什么事情，是否影响

Windows

的正常运行，一旦出现问题，即时查找排除。

三、

Windows

日志文件的保护

日志文件对我们如此重要，

因此不能忽视对它的保护，

防止发生某些

―

不法之徒

‖

将日志文件清洗一空的情况。

1

、修改日志文件存放目录

Windows

日志文件默认路径是

―%systemroot%

\system32\

config‖

，我们可以通过

修改注册表来改变它的存储目录，来增强对日志的保护。

点击

―

开始

→

运行

‖

，在对话框中输入

―Regedit‖

，回车后弹出注册表编辑器，依

次

展

开

―HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog‖

后，下面的

Application

、

Security

、

System

几个子项分别对应应用程序日志、安全日

志、系统日志。

以应用程序日志为例，

将其转移到

―d:

\

cce‖

目录下。

选中

Application

子项

（如图）

，

在

右

栏

中

找

到

File

键

，

其

键

值

为

应

用

程

序

日

志

文

件

的

路

径

―%SystemRoot%

\system32\config\

AppEvent.Evt‖

，将它修改为

―d:

\cce\

AppEvent.Evt‖

。

接着在

D

盘新建

―CCE‖

目录，将

―AppEvent.Evt‖

拷贝到该目录下，重新启动系统，

完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只

是在不同的子项下操作。

2

．

设置文件访问权限

修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文

件访问权限，

防止这种事情发生，

前提是

Windows

系统要采用

NTFS

文件系统格式。

右键点击

D

盘的

CCE

目录，

选择

―

属性

‖

，

切换到

―

安全

‖

标签页后，

首先取消

―

允

许将来自父系的可继承权限传播给该对象

‖

选项勾选。接着在账号列表框中选中

―Everyone‖

账号，只给它赋予

―

读取

‖

权限；然后点击

―

添加

‖

按钮，将

―System‖

账号添

加到账号列表框中，赋予除

―

完全控制

‖

和

―

修改

‖

以外的所有权限，最后点击

―

确定

‖

按钮。这样当用户清除

Windows

日志时，就会弹出错误对话框。

四、

Windows

日志实例分析

在

Windows

日志中记录了很多操作事件，为了方便用户对它们的管理，每种类

型的事件都赋予了一个惟一的编号，这就是事件

ID

。