电子商务安全实实验三 安全软件使用.ppt

网络安全实验软件使用 Windows系统日志审核 Windows XP的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志、计划任务日志等等，可能会根据服务器所开启的服务不同。 其中，应用程序日志、安全日志、系统日志、FTP日志、WWW日志，这些日志记录的都是与操作系统紧密相关的操作行为，包括帐号登录、帐号变更、服务变更、安全策略变更、应用程序错误、越权访问等等，因此对于追查入侵者，这些日志应该是首要检查的对象。 Windows系统日志审核 应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\sys tem32\config ，其中： （1）安全日志文件：%systemroot%\system32\config\SecEvent.EVT （2）系统日志文件：%systemroot%\system32\config\SysEvent.EVT （3）应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT （4）FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\ （5）WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\ Windows系统日志审核 典型的FTP日志记录： #Software: Microsoft Internet Information Services 5.0　　（微软IIS5.0） #Version: 1.0 （版本1.0） #Date:0315 （服务启动时间日期） #Fields: time cip csmethod csuristem scstatus 0315 02 [1]USER administator 331　（IP地址为02用户名为administator试图登录） 0318 02 [1]PASS – 530　（登录失败） 032:04 02 [1]USER nt 331　（IP地址为02用户名为nt的用户试图登录） 032:06 02 [1]PASS – 530　（登录失败） 032:09 02 [1]USER cyz 331　（IP地址为02用户名为cyz的用户试图登录） 0322 02 [1]PASS – 530　（登录失败） 0322 02 [1]USER administrator 331　（IP地址为02用户名为administrator试图登录） 0324 02 [1]PASS – 230　（登录成功） 0321 02 [1]MKD nt 550　（新建目录失败） 0325 02 [1]QUIT – 550　（退出FTP程序） Windows系统日志审核 下面是一个典型的WWW日志文件： #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date:03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)03:091 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) Windows系统日志审核 事件查看器 在 Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助预测潜在的系统问题。 Windows系统日志审核 事件日志类型 ① 应用程序日志 应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 ② 安全日志 安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您