实验六日志查看与清除实验.doc

沈 阳 工 程 学 院 学 生 实 验 报 告 实验室名称：信息学院网络安全实验室 实验课程名称：网络安全技术 实验项目名称：实验六（3）日志查看与清除实验 班 级： 姓 名： 学 号： 实验日期： 2014 年 4 月 30 日 实验台编号：55 指导教师： 批阅教师（签字）： 成绩： 实验目的 掌握系统注册表基本维护掌握日志清除的防范方法 实验内容 利用工具清理系统日志 手动清除常用服务日志 实验原理 Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。 安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。 应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。 应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB，管理员可以改变这个默认大小。 安全日志文件：%systemroot%\system32\config\SecEvent.EVT； 系统日志文件：%systemroot%\system32\config\SysEvent.EVT； 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT； DNS日志：%systemroot%\system32\config\DnsEvent.EVT； Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\， Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\， ftp和WWW服务，默认每天一个日志； Scheduler计划任务服务日志默认位置：%systemroot%\Tasks\schedlgu.txt，由于系统屏蔽的原因，只能在命令行下查看。 实验软硬件环境 (WindowsXP)、Windows实验台 实验的网络拓扑如下图所示，实验目标需首先确定所在主机实验台IP地址，并根据实验步骤填写正确的IP地址进行实验。 实验步骤 （1）启动Windows实验台，点击：开始 – 设置 – 控制面板 – 管理工具 -事件查看器。 图1 （2）应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB，管理员可以改变这个默认大小。 安全日志文件：%systemroot%\system32\config\SecEvent.EVT； 系统日志文件：%systemroot%\system32\config\SysEvent.EVT； 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT； DNS日志：%systemroot%\system32\config\DnsEvent.EVT； 在事件查看器中右键应用程序（或安全性、系统、DNS服务器）查看属性可以得到日志存放文件的路径，并可修改日志文件的大小，清除日志。如图2所示。 图 2 选中事件查看器中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选择“筛选”。或者点击属性页面的筛选器标签，日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录。 （3）查看www和ftp日志文件夹下的日志文件 当我们尝试对www服务中某一文件进行访问，则日志中则会有相应的日志记录如下图3所示。 图 3 日志中记录了访问www服务的请求地址，管理员可以根据请求地址，发现网络上的攻击，管理员可根据日志信息，采取一定的防护措施。 图 4 ftp的日志中同样会记录ftp服务的登陆用户，以及登陆之后的操作。 （4）计划任务日志 当入侵者得到远程系统的shell之后，常会利用计划任务运行功能更加强大的木马程序，计划任务日志详细的记录的计划任务的执行时间，程序名称等详细信息。 打开计划任务文件夹，点击“高级”-查看日志，即可查看计划任务日志。 图 5 第二步：日志清除 （1）删除事件查看器中的日志 学生主机下载使用elsave清除日志工具 先用ipc$管道进行连接，在c