讀win2k的日志對于每一個網(wǎng)絡(luò)管理員來說是家常便飯了，甚至可以說，它就是你每天早上打開電腦后的第一件要事，但是，個人上網(wǎng)用戶很少有人去注意安全日志，下面我簡要談?wù)剋in2k的日志，呵呵~~其實(shí)上面十三已經(jīng)說的很詳細(xì)了~~
1。系統(tǒng)自帶日志
  進(jìn)入控制面板，選擇“事件管理器‘，打開事件管理器，你可以看到三類日志：應(yīng)用程序日志，安全日  志和系統(tǒng)日志（如果你的win2k是svr以上版本，并且是域控制器的話，還會有一個DNS日志）
（1）應(yīng)用程序日志主要記錄一些重要應(yīng)用程序所產(chǎn)生的錯誤或成功信息，
     需要注意的是，這里所指的應(yīng)用程序不僅包刮了第三方軟件，還包刮一
     些win2k系統(tǒng)中的一些應(yīng)用程序
（2）系統(tǒng)日志主要記錄win2k操作系統(tǒng)的組件所產(chǎn)生的日志，例如IIS自帶
       的ftp，由于IIS屬于windows組件的一部分，所以其中的ftp必然也屬
      于windows的組件
（3）安全日志記錄的是一些安全事件,例如，給你的某個磁盤針對某個或某組用戶增加了審核之后，
     就可以通過日志來觀察該用戶或該用戶組對磁盤的操作情況，另外，還有指定的用戶或組的登陸情     況等
  很多人認(rèn)為讀日志是件比較簡單的事情，畢竟微軟的日志還是比較明了的，有很多的文字?jǐn)⑹觯?  很多人卻往往忽略了另外一些看起來不重要的東西
  日志中，我們最先讀的一般是其描述，除此，還有幾個需要注意的：日期，來源，類型和事件ID，
  至于計(jì)算機(jī)，對于個人用戶來說，一般都是本地計(jì)算機(jī)了。

  日期：如果是被入侵，從這里可以推斷出時(shí)間，有的時(shí)候掌握被攻擊或入侵的時(shí)間是很重要的
        例如：你被網(wǎng)頁上的惡意代碼給黑掉了，通過時(shí)間結(jié)合windows緩存中的網(wǎng)頁文件，就
        可以確定是哪個網(wǎng)站黑的你
  來源：要解決問題至少要先知道是什么程序出了問題吧
  類型：分為信息、警告、錯誤三種
  事件ID：這是最容易被大家忽視的地方，微軟為每個事件都規(guī)定了不同的事件ID。所以當(dāng)你無法理解
          日志中所記錄的錯誤或其他信息時(shí)可以到微軟的技術(shù)支持站點(diǎn)去搜索這個事件ID，就可以獲得
          解決的方案
   
2。解讀IIS日志
   上面的方法是針對win2k系統(tǒng)自帶的日志工具而言的，而windows的一大組件IIS其自身也帶有日志功能
   首先，我們要確定IIS日志的位置：C:\WINNT\system32\LogFiles 在這個目錄下，所有目錄都是用來   存放日志文件的。由于我實(shí)驗(yàn)時(shí)只啟動了ftp和web server兩個服務(wù)，所以這里有兩個文件夾，  MSFTPSVR1和W3SVC1，這兩個文件夾分別對應(yīng)了ftp和web服務(wù)的日志
  隨意打開一個文件夾，會發(fā)現(xiàn)一些log文件，命名方式為：ex031028.log，這些文件名是以產(chǎn)生時(shí)間來
  命名的，也就是說我們可以確定該日志和生成時(shí)間為：2003年10月28日
  打開文件后，讀取一條，內(nèi)容為：
  2003-10-28 09:30:25 192.168.0.1 - 192.168.0.2 80 GET /test.txt - 200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0).
  這個過程的意思就是：192.168.0.1的主機(jī)向本機(jī)（地址為192.168.0.2）的80端口（默認(rèn)的web服務(wù)端口）提交get請求，要求查看test.txt。
  其實(shí)在瀏覽器上就表現(xiàn)為:http://192.168.0.2/test.txt
  然后繼續(xù)看后面，需要細(xì)看的只有一個地方，那就是數(shù)字200，這是一個返回碼，代表訪問成功
  另外，還有其他代碼，例如“403”這樣的代碼是我們經(jīng)?？匆姷摹４蠹铱梢缘絚:\winnt\help\iishelp\common下查看，該目錄中會有一些
  名如400.htm這樣的網(wǎng)頁文件，這些文件對應(yīng)著每個錯誤代碼對應(yīng)的頁面，當(dāng)有人訪問時(shí)，產(chǎn)生了錯誤
  代碼為400的情況時(shí)，那么IIS將自動將頁面轉(zhuǎn)向該目錄下的400.htm的頁面，有興趣的朋友可以研究一下這些代碼代表的錯誤信息
  至于ftp日志的查看方法與web服務(wù)的日志查看方法類似，就不多說了
3。加強(qiáng)日志
  光靠系統(tǒng)默認(rèn)的這些日志是不夠的，我們還要增加其他日志，比如前面說到的審核，增加了適當(dāng)?shù)膶徍酥?，在安全日志中會有更多的日志和相關(guān)信息
  進(jìn)入控制面板，打開管理工具--->本地安全策略，選擇“本地策略-->審核策略-->審核用戶登陸事件”
  雙擊打開。將成功和失敗都選上，確定。這樣就對用戶的登陸成功和失敗都加上了審核，會發(fā)現(xiàn)在安全日志中多了一條日志，描述內(nèi)容包括
  為登陸所用的帳戶，帳戶名，工作站。。。
  其他一些審核與此類似，不再多說
  這里我要說一下“審核對象訪問”，因?yàn)檫@個審核要配合NTFS磁盤來使用，只有在NTFS磁盤上進(jìn)行設(shè)置并且保證該項(xiàng)開啟才能使用
  首先，還是在本地安全策略中設(shè)置審核對象訪問，將成功和失敗都選上，然后，找一個NTFS磁盤，右擊鼠標(biāo)，
  屬性-->安全-->高級-->審核，點(diǎn)擊添加，只要選擇你想要添加審核的用戶就好了，然后會出現(xiàn)選擇審核的內(nèi)容，視情況設(shè)置
  在安全日志中就會出現(xiàn)審核的結(jié)果，具體的就不多說了，日志也很容易讀懂
  除了使用win2k的審核外，最好的方法就是使用第三方軟件來加強(qiáng)我們的日志了，在防御上主要是防火墻類軟件，也不多說，以后我們會介紹
好了，話題就說到這兒，哎，手指都快敲斷了，但原大家能夠有所了解。。。