關于NTLOG記錄

LOG文件允許你監控你系統的資源，這些資源包括文件，應用程序，網絡連接，
硬件和其他的一些設備。對于排錯和系統安全的發現有很大的幫助。這文章
不解釋你怎樣看你的LOG記錄而是解釋一些管理技以幫助你讓你的LG文件在你
的控制掌握只下。

當然你首先要知道這些LOG記錄都放在哪里？

在UNIX系統上，對于LOG的管理一般很集中化，你熟悉的UNIX系統的話，就應該
知道一個系統里的日志記錄一般在某個目錄下集中管理，如/var/log，或者
/var/adm等地方。在WINDOWS NT系統中，LOG文件就沒有這樣集中化了。NT系統中
有應用程序，系統和安全事件的EVENTLOG，對于INTERNET服務的LOG文件一般在于
C:\WINNT\system32\LogFiles目錄下，其他NT服務有它們自己的目錄以及第三方
的軟件一般都把目錄放在其自己的程序目錄下。這樣，一個管理員就不會經常去
查看這些分放在不同目錄底下的應用程序目錄。所以我們需要的是建立一個統一
的好的管理LOG策略。

一般來說最好的方法是把各個記錄文件放在同一地方是最好的管理方式，個人認為，
分劃一個分區來存儲LOG文件是比較好的方法，這樣就可以很方便的使用ACL控制，
和保持文件分離各個應用程序。當然，作為日志來將，你所劃分的空間需要你很
好的估計，因為日志往往是吃空間大戶。再設置到大多數組可以寫訪問此盤，而
對于讀權限只能由管理員來訪問。最后你再設置一個"current"目錄。



好了，現在你有一個分區來存儲你的LOG文件，現在的問題是在你的系統上有那些
LOG記錄和怎樣把你的那些應用程序系統放到你所指定的分區中去。

先說明下一些普通LOG文件和你怎樣重定位它們：

Eventlog--這些在NT中內建的事件LOG你可以通過EVENT VIEWER-事件查看器來查
看。這些LOG包括如應用程序LOG，安全LOG，系統LOG，DNS服務器LOG，目錄服務，
和文件復制服務。它們這些LOG文件的重定位可以通過編輯注冊表中的：

the HKLM\System\CurrentControlSet\Services\Eventlog

的鍵值來完成。其中EVENTLOG下面有很多的子表，里面你可而已查找你想定位
的LOG記錄，找到一個KEY后在File屬性下，設置每個文件保存在你所劃分區的
"current"目錄下。（編輯注冊表有影響系統的危險，操作之前先保存注冊表）
然后重新啟動激活更改值。

關于INTERNET服務的記錄--這些是你的WEB，FTP和INTERNET LOG文件記錄。這些
是唯一可以被設置為循環記錄的文件，因此它們的文件名是基于周期時間的記錄。
為了改變這些文件的位置。編輯WEB和FTP的ROOT屬性，選擇LOG文件的屬性，在
這里你可以把LOG文件設置到你所劃分區的"current"目錄下。

Schedule Logs --這是個重要的LOG，你需要經常查看。它是位于C:\WINNT\SchedLgU.Txt
下，其記錄著所有由SCHEDULER服務啟動的所有行為，如服務的啟動和停止，你應該
知道很多攻擊以后，有不少后門是通過這個服務來啟動的，所以你應該仔細查找
這文件的里的內容，重新定位這個文件的位置，可以通過編輯下面的鍵值來完成：

HKLM\SOFTWARE\Microsoft\SchedulingAgent

Performance Logs --這些LOG是性能監視記錄器建立的，它們可以通過編輯注冊
表中的HKLM\System\CurrentControlSet\Services\SysmonLog的DefaultLogFileFolder
值來完成。

除上面的之外，你也需要查看下面的一些LOG文件：

應用程序LOG--一般來說你如果有第三方的WEB服務程序或者FTP，MAIL服務程序，
你也需要跟蹤他們的LOG，并從注冊表中更改他們記錄重定向他你新的分區。

MODEM記錄--一般來說你的機器可以多人使用的話，請記錄這些記錄。

發送MAIL記錄--雖然這不是一個真正的LOG記錄，但你需要定時檢查這些記錄或者
你編一個腳本來檢查。


目錄列表記錄--這算不上一個傳統的LOG記錄，但安排每天的一些敏感目錄列表
重定向到你的LOG分區是一個比較好的注意，如果有新的文件突然產生，你可以
跟蹤它。它可以通過下面的方法來完成：

dir C:\.netPub\wwwroot\ /S /B > [LogPartition].?

進程列表記錄--你可以安排一些ps.exe,tlist.exe和其他一些免費進程列表軟件
來監視你系統上的進程，并保存為文件。這樣的好處是你可以比較方便的發現
一些木馬程序或者未授權的應用程序在運行。當然你也可以使用netstat.exe來
定期的查看一些你機器上監聽的端口。上面這些程序可以到下面的站點找到：

http://www.sysinternals.com/


最后你最好使用一個批處理文件來歸檔LOG文件，你可以把今天的LOG文件自動移
到另一個位置。要注意的是有些文件是不讓你隨意更改和移動的，你需要停止
這些關于產生這個LOG的進程來進行移動，如Scheduler service的LOG，你需要使用
Net stop scheduler，然后在移動LOG文件，再使用net start scheduler來啟動。
當然你要查看需要你也可以使用一些事件查看工具把它們轉化為ASCII文件。

所以這些只是一些事后的檢查需要，要不被未授權訪問，很好的對系統的保護是
必須的，這些問題的內容你可以參考其他方面的材料。

見笑了??！

原文轉自：http://www.kjueaiud.com