“细心呵护”Windows日志文件
Windows日志文件记录着系统中各项服务的每一个细节,如系统的启动、运行、关闭等信息,它对Windows系统的稳定和安全,起到至关重要的作用。我们通过查看Windows日志,可以即时找出系统出现故障的原因。但往往也容易忽视对日志文件的保护,有些“不法之徒”成功入侵你的机器后,日志文件被清洗一空,使我们无从下手,找出系统漏洞所在。如何保护Windows日志文件呢?成为大家瞩目的焦点。下面跟笔者一起来吧!细心呵护我们的Windows日志。修改日志文件路径
众所周知,Windows日志文件默认位置是“%systemroot%\system32\config”,它包括应用程序日志、安全日志、系统日志等,对应的日志文件分别为AppEvent.EVT、SecEvent.EVT和SysEvent.EVT。虽然这些文件受到“Event Log”服务的保护不能被删除,但可以被清空。为了保护这些日志文件完整性,可以使用注册表编辑器修改日志文件的存放路径。
点击“开始→运行”,在运行对话框输入“regedit”命令,弹出注册表编辑器窗口,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”项,下面存在的Application、Security、System几个子键分别对应“应用程序日志、安全日志、系统日志”。下面以应用程序日志为例,介绍如何修改日志文件路径。
选中“Application”子键,在右侧框中找到“File”项,双击打开,它的键值就是“应用程序日志”文件的路径,默认为“%SystemRoot%\system32\config\AppEvent.Evt”。下面将其值修改为“C:\cpcw\AppEvent.Evt”。接着在C盘根目录下新建一个“cpcw”目录,然后将“AppEvent.Evt”拷贝到该目录下,重新启动系统后,就完成应用程序日志文件路径的修改。其它日志文件路径修改方法相同,就不再赘述了。
我的日志你别动
通过修改日志文件的路径,虽然可以增强Windows日志的安全性,但依然没有改变被某些日志清除工具清空日志的命运。NTFS是大家常用的文件系统格式,下面我们就可以利用NTFS提供的访问控制列表(ACL)功能保护Windows日志。
由于原日志文件存放路径“%systemroot%\system32\config”文件夹的特殊性,我们无法修改其访问权限。因此必须完成第一部分的“修改日志文件路径”操作。
右键点击存放日志文件的cpcw目录,在弹出菜单中选择“属性”,切换到“安全”标签页,取消“允许将来自父系的可继承权限传播给该对象”选项勾选后,弹出安全对话框,点击“复制”按钮。接着在安全标签页中选中“Everyone”账号(图1),只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到列表框中,对该账号赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。
图 1
修改后,当我们在“事件查看器”中试图清除Windows日志时,就会弹出错误对话框,拒绝清除操作(图2),对某些日志清除工具同样也有效。如果我们自己想清空Windows日志,只要赋予相应账号对cpcw目录“修改”权限即可。
图 2
存储海量日志记录
日志文件默认只有512KB,因此存储的日志记录信息有限,一旦有人攻击,致使日志文件超过指定大小,导致停止记录,这种事情的发生也是很可怕的。因此增加日志文件的容量,同样可以增强Windows日志的安全。
如要修改应用程序日志容量为30MB,在“事件查看器”窗口中,右键点击“应用程序”选项,在弹出的菜单中选择“属性”,接着在“日志大小”框中找到“最大日志文件大小”项目,将默认的512KB修改为30720KB(图3),最后点击“确定”按钮即可。
本篇文章共2页,此页为首页 下一页
图 3
定期备份日志习惯好
很多朋友都有定期备份重要数据的好习惯,备份Windows日志文件也同样重要。我们可以利用Windows资源工具箱提供的“dumpel.exe”命令实现。
dumpel.exe命令格式如下:
dumpel -f file [-s \\server] [-l log [-m source]]
-s 用来指定远程计算机,如果是本地可以省去
-f 指定备份日志文件的位置和文件名
-l 指定要备份哪种类型的日志文件,可选项为Application、Security、System等。
下面笔者备份本机的应用程序日志(Application)到C盘appbak.log文件中。在“命令提示符”窗口中,切换到“C:\>”提示符下,运行“dumpel -l application -f appbak.log”命令,出现“Dump successfully completed”提示信息后,就完成了日志文件备份。
经过以上几步操作,我们的Windows日志就更加安全了,更能有效地抵御“不法之徒”的入侵了(以上方法适用于Windows2000/XP/2003系统)。
本篇文章共2页,此页为末页 首页