日志文件分析 |
您所在的位置:网站首页 › windows日志文件路径 › 日志文件分析 |
日志文件,它记录着 Windows 系统及其各种服务运行的每个细节,对增强 Windows 的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些 ― 不速之 客 ‖ 很轻易就将日志文件清空,给系统带来严重的安全隐患。
一、什么是日志文件
日志文件是 Windows 系统中一个比较特殊的文件, 它记录着 Windows 系统中所 发生的一切,如各种系统服务的启动、运行、关闭等信息。 Windows 日志包括应用 程序、安全、系统等几个部分,它的存放路径是 ―%systemroot% \system32\ config‖ , 应用程序日志、安全日志和系统日志对应的文件名为 AppEvent.evt 、 SecEvent.evt 和 SysEvent.evt 。这些文件受到 ―Event Log (事件记录) ‖ 服务的保护不能被删除,但可 以被清空。
二、如何查看日志文件
在 Windows 系统中查看日志文件很简单。点击 ― 开始 → 设置 → 控制面板 → 管理 工具 → 事件查看器 ‖ , 在事件查看器窗口左栏中列出本机包含的日志类型, 如应用程 序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志, 如应用程序, 接着在右栏中列出该类型日志的所有记录, 双击其中某个记录, 弹出 ― 事 件属性 ‖ 对话框, 显示出该记录的详细信息, 这样我们就能准确的掌握系统中到底发 生了什么事情,是否影响 Windows 的正常运行,一旦出现问题,即时查找排除。
三、 Windows 日志文件的保护
日志文件对我们如此重要, 因此不能忽视对它的保护, 防止发生某些 ― 不法之徒 ‖ 将日志文件清洗一空的情况。
1 、修改日志文件存放目录
Windows 日志文件默认路径是 ―%systemroot% \system32\ config‖ ,我们可以通过 修改注册表来改变它的存储目录,来增强对日志的保护。
点击 ― 开始 → 运行 ‖ ,在对话框中输入 ―Regedit‖ ,回车后弹出注册表编辑器,依 次 展 开 ―HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog‖ 后,下面的 Application 、 Security 、 System 几个子项分别对应应用程序日志、安全日 志、系统日志。
以应用程序日志为例, 将其转移到 ―d: \ cce‖ 目录下。 选中 Application 子项 (如图) , 在 右 栏 中 找 到 File 键 , 其 键 值 为 应 用 程 序 日 志 文 件 的 路 径 ―%SystemRoot% \system32\config\ AppEvent.Evt‖ ,将它修改为 ―d: \cce\ AppEvent.Evt‖ 。 接着在 D 盘新建 ―CCE‖ 目录,将 ―AppEvent.Evt‖ 拷贝到该目录下,重新启动系统, 完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只 是在不同的子项下操作。
2 .
设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文 件访问权限, 防止这种事情发生, 前提是 Windows 系统要采用 NTFS 文件系统格式。
右键点击 D 盘的 CCE 目录, 选择 ― 属性 ‖ , 切换到 ― 安全 ‖ 标签页后, 首先取消 ― 允 许将来自父系的可继承权限传播给该对象 ‖ 选项勾选。接着在账号列表框中选中 ―Everyone‖ 账号,只给它赋予 ― 读取 ‖ 权限;然后点击 ― 添加 ‖ 按钮,将 ―System‖ 账号添 加到账号列表框中,赋予除 ― 完全控制 ‖ 和 ― 修改 ‖ 以外的所有权限,最后点击 ― 确定 ‖ 按钮。这样当用户清除 Windows 日志时,就会弹出错误对话框。
四、 Windows 日志实例分析
在 Windows 日志中记录了很多操作事件,为了方便用户对它们的管理,每种类 型的事件都赋予了一个惟一的编号,这就是事件 ID 。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |