一、Windows日志文件的保護

　　日志文件對我們如此重要，因此不能忽視對它的保護，防止發生某些“不法之徒”將日志文件清洗一空的情況。

　　1． 修改日志文件存放目錄

　　Windows日志文件默認路徑是“%systemroot%system32config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。

　　點擊“開始→運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System幾個子項分別對應應用程序日志、安全日志、系統日志。

　　筆者以應用程序日志為例，將其轉移到“d:\cce”目錄下。選中Application子項（如圖），在右欄中找到File鍵，其鍵值為應用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:cceAppEvent.Evt”。接著在D盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，完成應用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作，或建立一系列深目錄以存放新日志文件，如D:\01\02\03\04\05\06\07，起名的原則就是要“越不起眼，越好”?！?/P>

　　2． 設置文件訪問權限

　　修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權限，防止這種事情發生，前提是Windows系統要采用NTFS文件系統格式。

　　右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權限，***點擊“確定”按鈕。這樣當用戶清除Windows日志時，就會彈出錯誤對話框。

二、Windows日志實例分析

　　在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。

　　1． 查看正常開關機記錄

　　在Windows系統中，我們可以通過事件查看器的系統日志查看計算機的開、關機記錄，這是因為日志服務會隨計算機一起啟動或關閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件查看器中發現某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件日志服務已停止，如果沒有在事件查看器中發現某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。

　　2． 查看DHCP配置警告信息

　　在規模較大的網絡中，一般都是采用DHCP服務器配置客戶端IP地址信息，如果客戶機無法找到DHCP服務器，就會自動使用一個內部的IP地址配置客戶端，并且在Windows日志中產生一個事件ID號為1007的事件。如果用戶在日志中發現該編號事件，說明該機器無法從DHCP服務器獲得信息，就要查看是該機器網絡故障還是DHCP服務器問題。