操作系统日志简述

内容导航：

操作系统日志简述

windows系统日志是作什么用的?能删除吗?

计算机系统日志的特点

在计算机中，什么叫日志？是干什么的？

一、操作系统日志简述

大家好，我是anyux。本文介绍操作系统日志

网络环境日志分类Unix/Linux系统日志

1.登录时间日志子系统：登录时间日志通常会与多个程序的执行产生关联，一般情况下，会记录到/var/log/wtm和/var/run/utmp中

2.进程统计日志子系统：主要由系统的内核来实现完成记录操作。进程终止，系统能自动记录该进程，并在其日志文件中添加记录信息

3.错误日志子系统：由syslogd实现。对各个应用系统(HTTP,FTP,Samba)的守护进程、系统内核来自动利用syslog向/var/log/messages文件写入信息

Unix/Linux日志格式

1.基于syslogd的日志文件，由Syslog协议与POSIX标准定义，以ascii文本形式保存。通常由日期、时间、主机名、ip地址和优先级等。syslog分为0-7共8个优先级

2.应用程序的日志文件，由ascii文本形式保存，默认存储在/var/log/messages目录中，如/var/log/httpd/ ,/var/log/samba

3.操作记录日志文件。包含两种，登录人员的日志信息lastlog.二进制格式存储，包含用户名，终端号，登录ip，登录时间等。系统邮件服务器记录日志maillog，ascii文本格式存储，包含进程名，邮件代号、日期、时间、操作过程

Windows日志

1.系统日志：系统中各组件运行时的事件。分为驱动程序问题，系统组件问题，应用程序问题。这些问题包含数据丢失，错误，崩溃等

2.安全日志：记录安全事件，包含登录、退出信息，重要资源的操作等

3.应用程序日志：记录应用程序各类事件

windows一般使用二进制格式存储，使用事件查看器或第三主分析工具读取。

Windows系统日志

windows200 Advanced Server

日志类型目录位置应用程序C:\WINNT\system32\config\AppEvent.Evt安全C:\WINDOWS\system32\config\SecEvent.Evt系统C:\WINDOWS\system32\config\SysEvent.EvtIIS目录C:\WINDOWS\system32\config\LogFiles

Windows Server 2003 企业版

日志类型目录位置应用程序C:\WINDOWS\system32\config\AppEvent.Evt安全C:\WINDOWS\system32\config\SecEvent.Evt系统C:\WINDOWS\system32\config\SysEvent.Evt目录服务C:\WINDOWS\system32\config\NTDS.EvtDNS服务器C:\WINDOWS\system32\config\DnsEvent.Evt文件复制服务C:\WINDOWS\system32\config\NtFrs.Evt防火墙日志C:\WINDOWS\pfirewall.log

Windows Server 2008 标准版

日志类型目录位置应用程序%SystemRoot%\System32\Winevt\Logs\Application.evtx安全%SystemRoot%\System32\Winevt\Logs\Security.evtx系统%SystemRoot%\System32\Winevt\Logs\System.evtx防火墙%SystemRoot%\System32\Winevt\Logs\pfirewall.log

Windows Vista/Windows 7 /Windows 8 日志情况

日志类型目录位置应用程序%SystemRoot%\System32\Winevt\Logs\Application.evtx最大日志容量1801PB安全%SystemRoot%\System32\Winevt\Logs\Security.evtx系统%SystemRoot%\System32\Winevt\Logs\System.evtx防火墙%SystemRoot%\System32\Winevt\Logs\pfirewall.log

网络设备日志

PIX防火墙日志，记录事件如下：AAA(认证、授权、记账)事件，Connection事件，SNMP事件，Routing errors事件，Failover事件，PIX系统管理事件

交换机日志，记录设备自身运行状态，及异常状态，兼容Syslog RFC 3164的支持

一、windows系统日志是作什么用的?能删除吗?

windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。

材料/工具：win10

1、打开win10电脑右键win10桌面左下角的开始菜单，然后在点击弹出菜单里的【运行】

2、在打开的运行对话框里，输入【msconfig】然后点击确定

3、在打开的win10系统配置对话框里，直接点击【工具】选项卡

4、先选中事件查看器，然后在点击右下角的【启动】

5、打开事件查看器，然后点击【Windows日志】展开子菜单

6、在点击子菜单里的系统选项，然后在点击右侧的【清除日志】

7、点击清除后，弹出一个清除日志对话框直接点击清除按钮 。

二、计算机系统日志的特点

日志记录着系统中特定事件的相关活动信息，从计算机取证角度看，日志主要有以下特点：
不易读懂
虽然大部分系统的日志都以文本的形式记录，但由于各系统日志格式不一致，不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息，必须借助专用的工具分析这些日志，否则很难读懂其中的日志信息。
数据量大
通常对外服务产生的日志文件如Web服务日志、防火墙、入侵检测系统日志和数据库日志以及各类服务器日志等都很大，一个日志文件一天产生的容量少则几十兆、几百兆，多则有几个G，几十个G，这使得获取和分析日志信息变得很困难。
不易获取
由于网络中不同的操作系统、应用软件、网络设备和服务产生不同的日志文件，即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。国际上还没有形成标准的日志格式，各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式，使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。
日志联系
一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录，仅反映本系统的某些特定事件的操作情况，并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系统日志中留下痕迹，如防火墙IDS日志、操作系统日志等，这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析，才能准确反映用户活动情况。
系统日志
产生系统日志的软件通常为应用系统而不是作为操作系统的子系统运行，所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护的目录中，并以文本方式存储，未经加密和校验处理，没有提供防止恶意篡改的有效保护机制。因此，日志文件并不一定是可靠的，入侵者可能会篡改日志文件，从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的，在计算机取证中扮演着重要的角色，入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息，甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。

三、在计算机中，什么叫日志？是干什么的？

日志是日记中的一种，多指非个人的，一般是记载每天所做的工作．如教学日志’班组日志’工作日志等．日记是对每天所遇到的事和所做的事的记录，有的兼记对这些事情的感受，有时也可不做记录，直接抒发感情。是个人性质的．

电脑里的日志是指日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

当然，日志数据对于实现网络安全的价值有多大取决于两个因素:第一，你的系统和设备必须进行合适的设置以便记录你需要的数据。第二，你必须有合适的工具、培训和可用的资源来分析收集到的数据。

你不能分析你没有的东西

在你能够分析日志数据之前，你显然要收集数据。更重要的是，记录数据的程序或者设备要设置为收集你需要的数据。例如，微软的Windows操作系统在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息。然而，在Windows 2000和XP中，安全检查功能并不是缺省启用的，Windows Server 2003缺省的安全检查设置也许不能满足你的需求。

对于Windows中的安全检查事件，你可以选择记录成功的尝试，或者记录失败的尝试。如果你仅选择记录失败的访问文件和文件夹的数据，记录的数据就不会显示这个文件是什么时候被成功破解的。如果你仅记录成功地访问一个用户账号的尝试，记录的数据就不会向你显示一个黑客50次没有猜对那个账号的用户名和密码。

无论你是在使用Windows操作系统还是任何其它的设备和程序，你必须花费一些时间和努力事先了解你拥有的安全日志功能，并且为你的需要恰当地设置好日志选项。虽然简单地把一切都记录下来似乎是合乎逻辑的，但是，监测和记录安全事件会给处理器增加工作负担并且要使用内存和硬盘的空间。你需要了解可用的日志选项，在记录一切和全不记录之间选择最佳的平衡点，以便记录对你有价值的数据。

信息过载

一旦你收集完日志数据，这个挑战就是如何有效地利用这些数据。位于新泽西州Edison的netForensics公司安全战略家Anton Chuvakin指出:“一旦技术合适和收集完日志，就需要实施一个监测程序并且评估行动中的陷阱和可能的升级。

网络和安全管理员经常花费时间建立日志数据收集，但是，他们没有处理这些数据或者没有现成的资源来监测和分析那些数据。因为没有人监测这些日志数据，有关网络侦察或者潜在的攻击的信息也许会被忽略而失去时效。

当安全事件发生时，查看日志数据也许可以确定事件发生的时间。但是，在很多情况下，需要查看的数据量太大，人们没有经过技术培训或者不会查看这些数据，有日志数据也没有意义了。

现在，有安全事件管理(SEM)应用软件等一些工具专门用于监测安全事件并且使用某些逻辑或者过滤器帮助管理员获取有意义的数据。然而，这些工具仍需要设置和恰当地使用才能有效率。人们要对过滤的数据有所了解并且采取措施。

收集堆积如山的事件日志数据，如果没有经过培训的人员和资源对这些日志数据进行监测和分析，就如同没有收集任何数据一样毫无用处。在本系列讲座的下一讲，我将提供一些技巧，帮助你了解这些日志数据的意义，并且使用这些数据保护你的网络和增强网络的安全。