一.Windows日志系统WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNSServ.evt,FTP日志、日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。WindowsNT/2000主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。1.应用程序日志记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。2.系统日志记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由WindowsNT/2000操作系统预先定义。3.安全日志记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区,表14-3-1描述了事件记录的结构。表14-3-1事件日志结构记录头日期时间主体标识计算机名事件标号事件来源事件等级事件类别事件描述事件描述区的内容取决于具体的事件,可以是事件的名称、详细说明、产生该事件的原因、建议的解决方案等信息。附加数据可选数据区,通常包括可以以16进制方式显示的二进制数据。具体内容由产生事件记录的应用程序决定。事件标题包含以下关于事件的信息,如表14-3-2所描述。表14-3-2事件标题信息日期事件发生的日期时间事件发生的时间用户用户事件发生时己登录的用户的用户名。计算机发生事件的计算机的名称。事件ID标识事件类型的事件编号。产品支持代表可以使用事件ID来帮助了解系统中发生的事情。来源事件的来源。它可以是程序、系统组件或大型程序的个别组件的名称。类型事件的类型。它可以是以下五种类型之一:错误、警告、信息、成功审核或失败审核。类别按事件来源对事件进行的分类。它主要用于安全日志。所记录的每个事件的描述取决于事件类型。日志中的每个事件都可归类为表14-3-3所描述的类型之一。表14-3-3事件类型信息描述任务(如应用程序、驱动程序或服务)成功运行的事件。例如,当网络驱动程序成功加载时将记录“信息”事件。警告不一定重要但可能表明将来有可能出现问题的事件。例如,当磁盘空间快用完时将记录“警告”消息。错误描述重要问题(如关键任务失败)的事件。“错误”事件可能涉及数据丢失或功能缺失。例如,当启动过程中无法加载服务时将记录“错误”事件。成功审核(安全日志)描述成功完成受审核安全事件的事件。例如,当用户登录到计算机时将记录“成功审核”事件。失败审核(安全日志)描述未成功完成的受审核安全事件的事件。例如。当用户无法访问网络驱动器时可能记录“失败审核”事件。Windows2003的日志系统通常放在下面的位置:(1)安全日志文件:C:\WINDOWS\system32\config\SecEvent.EVT。(2)系统日志文件:C:\WINDOWS\system32\config\SysEvent.EVT。(3)应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.EVT。(4)FTP服务日志默认位置:C:\WINDOWS\system32\LogFiles\msftpsvc1\。(5)服务日志默认位置:C:\WINDOWS\system32\LogFiles\w3svc1\。日志要做到客观、真实必须要从日志的安全性来考虑,在这方面Windows系统日志也对日志进行了适当的保护。Windows系统的日志往往会通过后台服务来对日志文件起到一定的保护作用。服务EventLog就是用来保护事件日志的。并且日志文件还会通过注册表中设置键值来定位。系统管理员还会通过备份、移位、设置文件访问权限等手段来对日志文件进行适当的保护。但是,这样做对系统日志的安全性来说远未得到保障。日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windows2003的关键进程,而且与注册表文件在一块,当Windows2003启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和日志都是可以轻易地删除的。二.IIS的日志及日志格式IIS(Internet信息服务)的日志是用于记录关于用户活动的细节并按一定的格式创建的可以查看的文件。信息存储在ASCII文件或与ODBC兼容的数据库中。IIS中的日志记录信息超出了MicrosoftWindows事件日志或性能监视器功能的范围。日志包括的信息诸如哪些用户访问了您的站点、访问者查看了什么内容,以及最后一次查看该信息的时间。可以使用日志来评估内容受欢迎程度或识别信息瓶颈。IIS服务提供了四种日志文件的格式可以供你选择,他们分别是:(1)MicrosoftIIS日志文件格式:一种固定的ASCII格式。(2)NCSA共用日志文件格式:一种固定的ASCII格式。(3)ODBC日志记录:一种记录到数据库的固定格式,与该数据库兼容。(4)W3C扩展日志文件格式:一种可自定义的ASCII格式,默认情况下选择此格式。下面分别详细介绍这些格式。1.IIS日志文件格式IIS格式是固定的(不能自定义的)ASCII格式。IIS格式比NCSA公用格式记录的信息多。IIS格式包括一些基本项目,如用户的IP地址、用户名、请求日期和时间、服务状态码和接收的字节数。另外,IIS格式还包括详细的项目,如所用时间、发送的字节数、动作(例如,GET命令执行的下载)和目标文件。这些项目用逗号分开,使得格式比使用空格作为分隔符的其他ASCII格式更易于阅读。时间记录为本地时间。当在文本编辑器中打开IIS格式的文件时,项目与下面的示例相似:192.168.114.201,-,03/20/01,7:55:20,w3svc2,sales1,172.21.13.45,4502,163,3223,200,0,GET,/DeptLogo.gif,-,172.16.255.255,anonymous,03/20/01,23:58:11,MSFTPSVC,SALES1,172.16.255.255,60,275,0,0,0,pass,/Intro.htm,-,上面所示的项目将在下面的表中加以说明。每个表的顶行来自第二个站点实例(以W3SVC2形式出现在“服务”下面),底行来自第一个FTP站点实例(以MSFTPSVC1形式出现在“服务”下面)。由于页宽所限,该示例出现在三个表中。用户的IP地址192.168.114.201用户名称匿名日期03/20/01时间7:55:20服务和实例W3SVC2计算机名SALES1服务器IP地址172.21.13.45所用时间4502发送字节163接收字节3223服务状态码200状态码0请求类型GET操作目标/DeptLogo.gif参数[376]在上面的示例中,第一个项目表明:2001年3月20日上午7:55,IP地址为192.168.114.201的匿名用户发出一条HTTPGET命令,从IP地址为172.21.13.45、名为SALES1的服务器请求图像文件/DeptLogo.gif。163字节的HTTP请求有4502毫秒(4.5秒)的处理时间来完成,并将3223个字节的数据毫无错误地返回给匿名用户。2.NCSA公用日志文件格式(美国)国家超级计算技术应用中心(NCSA)公用格式是一种固定的(不能自定义的)ASCII格式,可用于网站但不能用于FTP站点。NCSA公用格式记录了关于用户请求的基本信息,如远程主机名、用户名、日期、时间、请求类型、HTTP状态码和服务器发送的字节数。项目之间用空格分开;时间记录为本地时间。当在文本编辑器中打开NCSA公用格式文件时,项目与下面的示例相似:以上示例的项目在下面的表中说明。由于页宽所限,该示例显示在两个表中。远程主机172.21.13.45远程登录名称Microsoft用户名称fred日期08/Apr/2001时间和GMT时差17:39:10-0800请求/版本GET/scripts/iisadmin/ism.dll?http/servHTTP/1.0服务状态码200传送的字节3401上面的项目表明:Microsoft域中IP地址为172.21.13.45、名为Fred的用户在2001年4月8日下午5:39分发出一条HTTPGET命令(即下载一个文件)。该请求将3401个字节的数据正确无误地返回给名为Fred的用户。3.使用ODBC日志记录用适当的属性为日志数据创建包含表的数据库IIS中包含有SQL模板文件,它可以在SQL数据库中运行,以创建从IIS接受日志项目的表。该文件名为Logtemp.sql且位于systemroot\System32\Inetsrv(如果您接受了安装默认值)。下列属性是必需的:表14-3-4ODBC日志属性属性名称属性类型ClientHostvarchar(255)Usernamevarchar(255)LogTimedatetimeServicevarchar(255)Machinevarchar(255)ServerIPvarchar(50)ProcessingTimeIntBytesRecvdIntBytesSentIntServiceStatusIntWin32StatusIntOperationvarchar(255)Targetvarchar(255)Parametersvarchar(255)为数据库赋予系统数据源名(DSN),ODBC软件用它来查找数据库。向IIS提供数据库和表的名称。如果访问数据库时需要用户名和密码,也必须在IIS中指定。4.W3C扩展日志文件格式W3C扩展格式是一个包含多个不同属性、可自定义的ASCII格式。可以记录对您来说重要的属性,同时通过省略不需要的属性字段来限制日志文件的大小。属性以空格分开,时间以UTC形式记录。W3C扩展日志记录定义如表14-3-5。表14-3-5W3C扩展日志记录定义前缀s-c-cs-sc-含义服务器操作。客户端操作。客户端到服务器的操作。服务器到客户端的字段格式描述日期data活动发生的日期。时间time活动发生的时间。客户端IP地址c-ip访问服务器的客户端IP地址。用户名cs-username访问服务器的已验证用户的名称。这不包括用连字符(-)表示的匿名用户。服务名s-sitename客户端所访问的该站点的Internet服务和实号码。服务器IP地址s-ip生成日志项的服务器的IP地址。服务器端口s-port客户端连接到的端口号方法cs-method客户端试图执行的操作(例如GET方法)URI资源cs-uri-stem访问的资源,例如Default.htm。URI查询cs-uri-query客户端正在尝试执行的查询(如果有)。协议状态sc-sta