“细心呵护”Windows日志CPCW SUN
“细心呵护”Windows日志
Windows日志文件记录着系统中各项服务的每一个细节,如系统的启动、运行、关闭等信息,它对Windows系统的稳定和安全,起到至关重要的作用。我们通过查看Windows日志,可以即时找出系统出现故障的原因。但往往也容易忽视对日志文件的保护,有些“不法之徒”成功入侵你的机器后,日志文件被清洗一空,使我们无从下手,找出系统漏洞所在。如何保护Windows日志文件呢?成为大家瞩目的焦点,下面一起来吧!细心呵护我们的Windows日志。
一、乾坤大挪移,修改日志文件路径
众所周知,Windows日志文件默认位置是“%systemroot%\system32\config”,它包括应用程序日志、安全日志、系统日志等,对应的日志文件分别为AppEvent.EVT、SecEvent.EVT和SysEvent.EVT。虽然这些文件受到“Event Log”服务的保护不能被删除,但可以被清空,为了保护这些日志文件完整性,可以使用注册表编辑器修改日志文件的存放路径。
点击“开始à运行”,在运行对话框输入“regedit”命令,弹出注册表编辑器窗口,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”项,下面存在的Application、Security、System几个子键分别对应“应用程序日志”、“安全日志”、“系统日志”,下面以应用程序日志为例,介绍如何修改日志文件路径。
选中“Application”子键,在右侧框中找到“File”项,双击打开,它的键值就是“应用程序日志”文件的路径,默认为“%SystemRoot%\system32\config\AppEvent.Evt”,下面将它改改,将其值修改为“c:\cpcw\AppEvent.Evt”(图一)。接着在C盘根目录下新建一个“cpcw”目录,然后将“AppEvent.Evt”拷贝到该目录下,重新启动系统后,就完成应用程序日志文件路径的修改。其它日志文件路径修改方法相同,就不在赘述了。
二、巧改文件访问权限,我的日志你别动
通过修改日志文件的路径,虽然可以增强Windows日志的安全性,但依然没有改变被某些日志清除工具清空日志的命运。NTFS是大家常用的文件系统格式,下面我们就可以利用NTFS提供的控制访问列表(ACL)功能保护Windows日志。
由于原日志文件存放路径“%systemroot%\system32\config”文件夹的特殊性,我们无法修改其访问权限。因此必须完成第一部分的“修改日志文件路径”操作。
右键点击存放日志文件的cpcw目录,在弹出菜单中选择“属性”,切换到“安全”标签页,取消“允许将来自父系的可继承权限传播给该对象”选项钩选后,弹出安全对话框,点击“复制”按钮。接着在安全标签页中选中“Everyone”帐号(图二),只给它赋予“读取”权限;然后点击“添加”按钮,将“System”帐号添加到列表框中(图三),给予该帐号赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。
修改后,当我们在“事件查看器”中试图清除Windows日志时,就会弹出错误对话框,拒绝清除操作(图四),对某些日志清除工具同样也有效。如果我们自己想清空Windows日志,只要赋予相应帐号对cpcw目录“修改”权限即可。
三、增加文件容量,存储海量日志记录
日志文件默认只有512K大小,因此存储的日志记录信息有限,一旦有人攻击,致使日志文件超过指定大小,导致停止记录,这种事情的发生也是很可怕的。因此增加日志文件的容量大小,同样可以增强Windows日志的安全。
如要修改应用程序日志容量为
四、有“备”无患,养成定期备份日志好习惯
很多朋友都有定期备份重要数据的好习惯, 备份Windows日志文件也同样重要。我们可以利用Windows资源工具箱提供的“dumpel.exe”命令实现。
dumpel.exe命令格式如下:
dumpel -f file [-s \\server] [-l log [-m source]]
-s 用来指定远程计算机,如果是本地可以省去
-f 指定备份日志文件的位置和文件名
-l 指定要备份哪种类型的日志文件,可选项为Application、Security、System等
下面笔者备份本机的应用程序日志(Application)到C盘appbak.log文件中,在“命令提示符”窗口中,切换到“C:\>”提示符下,运行“dumpel -l application -f appbak.log”命令,出现“Dump successfully completed”提示信息后,就完成了日志文件备份。
经过以上几步操作,我们的Windows日志就更加安全了,更能有效的抵御“不法之徒”的入侵了。(以上方法适用于Windows2000/XP/2003系统)
