windows日志查看与清理

启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。

windows日志查看与清理

 

 

应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,

 安全日志文件:%systemroot%\system32\config\SecEvent.EVT;

      系统日志文件:%systemroot%\system32\config\SysEvent.EVT;

      应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;

      DNS日志:%systemroot%\system32\config\DnsEvent.EVT;

      在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。

windows日志查看与清理

 

通过筛选器系统会过滤出管理员希望查看的日志记录

 windows日志查看与清理

 

 windows日志查看与清理

 

  打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。

 windows日志查看与清理

 

日志清除

 

(1) 删除事件查看器中的日志

    主机下载使用elsave清除日志工具 

     下载地址:http://tools.hetianlab.com/tools/Elsave.rar

windows日志查看与清理

 

首先在对端的主机上用”ipconfig“查看一下主机的ip 地址。

windows日志查看与清理

 

 然后在本地主机上 先用ipc$管道进行连接,在cmd命令提示符下输入 net use \\对方IP(实验台IP)\ipc$ "密码" /user:"用户名";

     连接成功后,开始进行日志清除。

windows日志查看与清理

 

 

 

    清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C

    清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C

    清除目标系统的安全日志输入elsave.exe -s \\对方IP -l "security" -C

 windows日志查看与清理

 

 windows日志查看与清理

 

 

(2) 删除常见服务日志

    IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。  

    手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后(也可直接在实验台中操作),cmd下切换到这个目录下,然后 del *.*。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net 命令停止服务如下:

    C:\>net stop w3svc

    World Wide Web Publishing Service 服务正在停止。

    World Wide Web Publishing Service 服务已成功停止。

     日志w3svc停止后,然后清空它的日志, del *.*

     C:\>net start w3svc

     清除ftp日志,日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。

windows日志查看与清理

 

 windows日志查看与清理

 

 我没有成功。

 

(3) 删除计划任务日志

    先来删除计划任务日志:

    在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks), 删除schedlgu.txt , 提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入net stop schedule;

 

  下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

 

    Remote Storage Engine

 

    Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

 

    如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt;

 

    删除后需要再次启动该任务以便主机能够正常工作,输入net start schedule:

 

windows日志查看与清理

 

 1)还有哪些途径可以发现网络中存在的攻击或者入侵。

数据挖掘,看日志。

入侵检测:异常检测之浅谈入侵检测_weixin_33754913的博客-CSDN博客

总结几种常见的网络攻击,及解决方案_hgswsdn的博客-CSDN博客_常见的网络攻击应如何应对
2)清理日志能否把所有的痕迹都清理干净。

 

 不可以

日志分析与痕迹清理_Shanfenglan's blog-CSDN博客_日志清洗

 

上一篇:支持向量机(SVM) VS 支持向量回归机(SVR)


下一篇:吴恩达机器学习(支持向量机)