一、日志文件的特殊性

      要了解日志文件，首先就要從它的特殊性講起，說它特殊是因為這個文件由系統管理，并加以保護，一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等，都奈何它不得。我們甚至不能對它進行“重命名”或“刪除”、“移動”操作，否則系統就會很不客氣告訴你:訪問被拒絕。當然，在純DOS的狀態下，可以對它進行一些常規操作(例如Win98狀態下)，但是你很快就會發現，你的修改根本就無濟于事，當重新啟動Windows 98時，系統將會自動檢查這個特殊的文本文件，若不存在就會自動產生一個；若存在的話，將向該文本追加日志記錄。

     二、黑客為什么會對日志文件感興趣

黑客們在獲得服務器的系統管理員權限之后就可以隨意破壞系統上的文件了，包括日志文件。但是這一切都將被系統日志所記錄下來，所以黑客們想要隱藏自己的入侵蹤跡，就必須對日志進行修改。最簡單的方法就是刪除系統日志文件，但這樣做一般都是初級黑客所為，真正的高級黑客們總是用修改日志的方法來防止系統管理員追蹤到自己，網絡上有很多專門進行此類功能的程序，例如Zap、Wipe等。

     三、Windows系列日志系統簡介

     1.Windows 98的日志文件

因目前絕大多數的用戶還是使用的操作系統是Windows 98，所以本節先從Windows 98的日志文件講起。Windows 98下的普通用戶無需使用系統日志，除非有特殊用途，例如，利用Windows 98建立個人Web服務器時，就會需要啟用系統日志來作為服務器安全方面的參考，當已利用Windows 98建立個人Web服務器的用戶，可以進行下列操作來啟用日志功能。

     (1)在“控制面板”中雙擊“個人Web服務器”圖標；(必須已經在配置好相關的網絡協議，并添加“個人Web服務器”的情況下)。

     (2)在“管理”選項卡中單擊“管理”按鈕； 　　

     (3)在“Internet服務管理員”頁中單擊“WWW管理”； 　　

     (4)在“WWW管理”頁中單擊“日志”選項卡； 　　

    (5)選中“啟用日志”復選框，并根據需要進行更改。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項卡中沒有指定日志文件的目錄，則文件將被保存在Windows文件夾中。

    普通用戶可以在Windows 98的系統文件夾中找到日志文件schedlog.txt。我們可以通過以下幾種方法找到它。在“開始”/“查找”中查找到它，或是啟動“任務計劃程序”，在“高級”菜單中單擊“查看日志”來查看到它。Windows 98的普通用戶的日志文件很簡單，只是記錄了一些預先設定的任務運行過程，相對于作為服務器的NT操作系統，真正的黑客們很少對Windows 98發生興趣。所以Windows 98下的日志不為人們所重視。

    2.Windows NT下的日志系統

    Windows NT是目前受到攻擊較多的操作系統，在Windows NT中，日志文件幾乎對系統中的每一項事務都要做一定程度上的審計。Windows NT的日志文件一般分為三類：

    系統日志 ：跟蹤各種各樣的系統事件，記錄由 Windows NT 的系統組件產生的事件。例如，在啟動過程加載驅動程序錯誤或其它系統組件的失敗記錄在系統日志中。

    應用程序日志：記錄由應用程序或系統程序產生的事件，比如應用程序產生的裝載dll(動態鏈接庫)失敗的信息將出現在日志中。

    安全日志 ：記錄登錄上網、下網、改變訪問權限以及系統啟動和關閉等事件以及與創建、打開或刪除文件等資源使用相關聯的事件。利用系統的“事件管理器”可以指定在安全日志中記錄需要記錄的事件，安全日志的默認狀態是關閉的。

Windows NT的日志系統通常放在下面的位置，根據操作系統的不同略有變化。


C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt


      Windows NT使用了一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器讀取，事件查看器可以在“控制面板”中找到，系統管理員可以使用事件查看器選擇要查看的日志條目，查看條件包括類別、用戶和消息類型。

      3.Windows 2000的日志系統 與Windows NT一樣，Windows 2000中也一樣使用“事件查看器”來管理日志系統，也同樣需要用系統管理員身份進入系統后方可進行操作。

     在Windows 2000中，日志文件的類型比較多，通常有應用程序日志，安全日志、系統日志、DNS服務器日志、FTP日志、WWW日志等等，可能會根據服務器所開啟的服務不同而略有變化。啟動Windows 2000時，事件日志服務會自動啟動，所有用戶都可以查看“應用程序日志”，但是只有系統管理員才能訪問“安全日志”和“系統日志”。系統默認的情況下會關閉“安全日志”，但我們可以使用“組策略”來啟用“安全日志”開始記錄。安全日志一旦開啟，就會無限制的記錄下去，直到裝滿時停止運行。