簡介
伺服器的日記就是記錄網站被訪問的全過程,什麼時間到什麼時間有哪些人來過,什麼搜尋引擎來過,有沒有收錄你的網頁。從你的網站工作的第一天你的日記就有了。
如何查看自己的伺服器的日記? (以windows 2003系統為例)
1、開始--管理工具--事件查看器--系統 或者 控制臺--管理工具--事件查看器--系統。
2、在遠程客戶端,運行IE瀏覽器,在地址欄中輸入“https://Win2003伺服器IP位址:8098”,如“https://192.168.1.1:8098”。在彈出的登錄對話框中輸入管理員的。
用戶名和密碼,點擊“確定”按鈕即可登錄Web訪問接口管理界面。接著在“歡迎使用”界面中點擊“維護”連結,切換到“維護”管理頁面,然後點擊“日誌”連結,進入。到日誌管理頁面。在日誌管理頁面中,管理員可以查看、下載或清除windows 2003伺服器日誌。選擇系統日誌可進行查看。並且在日誌管理頁面中可列出windows 2003伺服器。的所有日誌分類,如應用程式日誌、安全日誌、系統日誌、Web管理日誌等。
基於檔案伺服器日誌的測試用例
檔案系統中的伺服器日誌詳細記錄了用戶操作檔案的各種信息,但是在性能測試中測試用例的設計中很少用到日誌信息。當前使用日誌進行信息挖掘的主要集中在,Web日誌領域,其他套用領域也開始有人進行研究。比如針對郵件病毒研究郵件伺服器日誌的文章我們當前面對的是一個產品全生命周期管理系統,PLM,主要是對其中的檔案系統進行性能測試,如何針對系統設計出好的測試用例,參考使用國際上已經公認的測試標準,可以節省時間,測試的結果也比較公證,但是直接使用國際標準存在很多問題,比如其中的測試集和配置環境與我們的系統相差很大,不符合系統實際情況的使用。
檔案伺服器日誌挖掘分析
日誌挖掘就是運用數據挖掘的思想來對伺服器日誌進行分析處理,日誌挖掘與傳統數據挖掘的區別在於數據源不同日誌挖掘的對象通常是伺服器的日誌信息,而傳統數據挖掘的對象多為資料庫,本文中檔案伺服器日誌數據挖掘的目標是以分析系統性能和改進系統設計為目標。對檔案伺服器日誌數據挖掘用到的技術主要有,3個步驟,數據預處理,模式發現和模式分析。
網站伺服器日誌檔案的保護
一旦黑客入侵伺服器成功。要做的第一件事就是刪除你的日誌檔案.使你在被入侵後無法追蹤黑客行為,以及檢查黑客所做的操作行為。日誌檔案就像飛機中的。黑匣子”一樣重要.因為裡面保存著黑客入侵行為的所有罪證。那么網管要怎么才能有效地避免黑客人侵後刪除系統的日誌檔案呢?筆者通過多年的網管員經驗。總結了幾種方法,經過多次的測試.確保伺服器日誌檔案的安全。
日誌的移位與保護
WiIldows 2000的系統日誌檔案包括:應用程式日誌、安全日誌、系統日誌、DNS服務日誌,以及F.IP連線日誌和HTI'PD日誌等。在默認情況下日誌檔案大小為512KB,日誌保存的默認的位置如下:
安全日誌檔案:%systemroot%\system32\config\SecEvent.EVT
系統日誌檔案:%systemroot%\system32\config\SecEvent.EVT
應用程式日誌檔案:%systemroot%\system32\config\APPEvent.EVT
FTP連線日誌和HTTPD事務日誌:%systemroot%\system32\logFiles\,下面還有子資料夾,分別對應該FTP和Web服務的日誌。其對應的後綴名為.Log。在此筆者把系統默認為.EvT擴展名的日誌檔案統稱為事件日誌。好多文章介紹對事件日誌移位能做到很好的保護。移位雖是一種保護方法,但只要在命令行輸入dir c:\*.evt/s(如系統安裝在D糟。則盤符為D),一下就可查找到事件日誌位置。日誌移位要通過修改註冊表來完成,我們找到註冊表HKEY.LOCAL__MACHINEXSYSTEM\Current ControlSet\Services\Evendog位置。下面的Application、Security、System幾個子鍵。分別對應“應用程式日誌””安全日誌”系統日誌”。如何修改註冊表。下面我們來看看Application子鍵:
File項就是“應用程式日誌”檔案存放的位置。把此鍵值改為我們要存放日誌檔案的資料夾.然後再%systemroot%\system32\config\APPEvent.EVT檔案拷貝到此資料夾,再重啟機器。在此介紹移位的目的是為了充分利用Windows 2000在NTFs格式下的“安全”屬性。如果不移位也無法對檔案進行安全設定操作,右擊移位後的資料夾選擇“屬性”,進入“安全”選項卡.不選擇“允許將來自父系的可繼承許可權傳播給該對象”,添加“System”組,分別給Everyone組“讀取”許可權,System組選擇除“完全控制”和“修改”的許可權。然後再將系統默認的日誌檔案512KB大小改為你所想要的大小。如20MB。
進行了上面的設定後,再直接通過Del C:托Evffdq來刪除是刪不掉的:對系統正在使用的記錄檔案在命令行形式中用上面的命令也是拒絕操作的。
日誌檔案的備份
基於WMI技術的日誌備份腳本
WMI(Windows Management Instnunentafion)技術是微軟提供的Windows下的系統管理工具。基於WMI開發的腳本均可在Windows 2000,NT上成功運行。微軟提供了一個腳本,利用WMI將日誌檔案大小設為25MB,並允許13志自動覆蓋14天前的日誌。
我們只需把該腳本保存為.vbs擴展名的檔案就可以使用。我們還可以修改上面的腳本來備份日誌檔案,筆者在此建議。在備份日誌時一定將EⅥ’的後綴名改為其他後綴保存(如.C),目的是讓攻擊者不易找到。