Windows2000的日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、smtp服務(wù)器日志,DNS服務(wù)器日志、FTP日志、WWW日志等等，可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而有所不同。還有一些網(wǎng)絡(luò)管理軟件的日志，說到這里，記得新浪的網(wǎng)管軟件是自己開發(fā)的，如果不了解這個，可能會留下更多的記錄。 
這次只談清除FTP。IIS應(yīng)用程序日志，smtp服務(wù)器日志,系統(tǒng)日志這些一般日志的命令行下的刪除方法. 
(1) Scheduler日志 

Scheduler服務(wù)日志默認(rèn)位置：2000下: %sys temroot%\schedlgu.txt NTworkstation下為 SchedLog.txt 
可以打開schedlgu.txt 
Schedluler服務(wù)日志在注冊表中 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent 
先停掉他 net stop "task scheduler" (注意不停是刪不掉的) 
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了. 
del sched*.txt 
不過你如果不想刪他,也可以改改它. 他的內(nèi)容是這樣的: 
" "任務(wù)計劃程序服務(wù)" 
已退出于 01-5-22 20:37:34 
"任務(wù)計劃程序服務(wù)" 
已啟動于 01-5-25 7:07:37 
"任務(wù)計劃程序服務(wù)" 
已啟動于 01-5-25 7:26:36 
"任務(wù)計劃程序服務(wù)" 
已退出于 01-5-25 8:47:54 " 
很好改的. 

(2) FTP日志 

Internet信息服務(wù)FTP日志默認(rèn)位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\，默認(rèn)每天一個日志. 
格式是這樣的 ex*.log . 
注意這是一臺NT4的LOGFILES下的文件: 
這臺服務(wù)器下管理有多個HTTP或FTP站點 

c:\winnt\sys tem32\logfiles 的目錄 

00-12-04 06:28p . 
00-12-04 06:28p .. 
01-05-18 12:56p MSFTPSVC1 
01-04-23 11:28a MSFTPSVC2 
01-01-12 11:56a MSFTPSVC3 
01-06-01 08:12a SMTPSVC1 
01-09-20 08:55a W3SVC1 
01-08-02 10:36a W3SVC10 
01-10-11 04:48p W3SVC11 
01-07-11 09:16a W3SVC2 
01-10-11 10:31a W3SVC3 
01-10-10 04:55p W3SVC4 
01-09-28 01:43p W3SVC5 
01-10-11 08:44a W3SVC6 
01-10-11 08:00a W3SVC7 
01-09-30 01:49p W3SVC8 
01-10-11 08:03a W3SVC9 

看看日志文件的格式: 
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log 
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 
0, 0, 331, 0, [3]USER, anonymous, -, 
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53 
0, 1326, [3]PASS, IE30User@, -, 
關(guān)于LOG文件的含意我就不解釋了,浪費時間,嘿嘿. 

法一:> 這個時侯 net stop msftpsvc 停掉后臺服務(wù). 
然后盡管 del ............ 
看這刪吧,不要刪的過火,把當(dāng)天的刪了就行. 別忘了再NET START MSFTPSVC 把服務(wù)打開. 
法二:> 當(dāng)然你如果還想更好,那就改改日志,可以改了系統(tǒng)時間后再改日志,只把你的清了,別忘了把時間改回來哦 
實際上在得到ADMIN權(quán)限后,做這些事很容易. 

法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉寫的工具,不用我再教了吧! 


(3) WWW日志 

Internet信息服務(wù)WWW日志默認(rèn)位置：%sys temroot%\sys tem32\logfiles\w3svc1\，默認(rèn)每天一個日志 

注意這是一臺NT4的LOGFILES下的文件: 
這臺服務(wù)器下管理有多個HTTP或FTP站點 

c:\winnt\sys tem32\logfiles 的目錄 

00-12-04 06:28p . 
00-12-04 06:28p .. 
01-05-18 12:56p MSFTPSVC1 
01-04-23 11:28a MSFTPSVC2 
01-01-12 11:56a MSFTPSVC3 
01-06-01 08:12a SMTPSVC1 
01-09-20 08:55a W3SVC1 
01-08-02 10:36a W3SVC10 
01-10-11 04:48p W3SVC11 
01-07-11 09:16a W3SVC2 
01-10-11 10:31a W3SVC3 
01-10-10 04:55p W3SVC4 
01-09-28 01:43p W3SVC5 
01-10-11 08:44a W3SVC6 
01-10-11 08:00a W3SVC7 
01-09-30 01:49p W3SVC8 
01-10-11 08:03a W3SVC9 

w3svc1 下的文件: 
01-09-18 08:00a 70,918 ex010917.log 
01-09-19 08:00a 3,243,955 ex010918.log 
01-09-19 10:25p 2,686,976 ex010919.log 
01-09-20 10:00a 327,680 ex010920.log 

此時看看文件內(nèi)容: type c:\winnt\sys tem32\logfiles\w3svc1\ex010920.log 

01:26:17 127.74.36.149 GET /c/winnt/sys tem32/cmd.exe 404 
01:26:17 127.37.88.60 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/cmd.e 
xe 404 
01:26:17 127.208.246.13 GET /d/winnt/sys tem32/cmd.exe 404 
01:26:17 127.74.36.149 GET /d/winnt/sys tem32/cmd.exe 404 
01:26:17 127.37.88.60 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/cmd.e 
xe 404 
01:26:17 127.208.246.13 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403 
01:26:17 127.74.36.149 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403 
01:26:17 127.208.246.13 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/cmd 
.exe 404 
01:26:17 127.74.36.149 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/cmd. 
exe 404 
01:26:17 127.208.246.13 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/cmd 
.exe 404 
01:26:17 127.74.36.149 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/cmd. 
...................... 

shit ,全是CGI漏洞的掃描 

法一:> 這個時侯 net stop w3svc 停掉后臺服務(wù). 
然后盡管 del ............ 
看這刪吧,不要刪的過火,把當(dāng)天的刪了就行. 別忘了再NET START w3svc 把服務(wù)打開. 
法二:> 當(dāng)然你如果還想更好,那就改改日志,可以改了系統(tǒng)時間后再改日志,只把你的清了,別忘了把時間改 
回來哦 
實際上在得到ADMIN權(quán)限后,做這些事很容易. 

法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉寫的工具. 


(4) SMTP日志 

smtp服務(wù)日志默認(rèn)位置：%sys temroot%\sys tem32\logfiles\smtpsvc1\ 
目錄: 

01-06-01 08:12a SMTPSVC1 

該目錄下的文件行式: 

01-05-15 12:21a 371 ex010513.log 
01-05-16 03:52a 257 ex010514.log 
01-05-16 09:09a 182 ex010515.log 
01-05-17 04:14p 893 ex010516.log 
01-05-18 09:22a 263 ex010517.log 
01-05-21 09:09a 293 ex010518.log 
01-06-01 08:12a 8,222 ex010531.log 
01-06-05 01:37p 3,099 ex010601.log 

該文件ex010601.log的內(nèi)容: 

00:58:24 202.104.112.168 QUIT - 0 
00:58:30 202.104.112.168 MAIL FROM - 250 
00:58:30 202.104.112.168 RCPT TO - 250 
00:58:30 202.104.112.168 MAIL FROM - 250 
00:58:30 202.104.112.168 RCPT TO - 250 
00:58:30 202.104.112.168 QUIT - 0 
00:59:51 202.104.112.168 MAIL FROM - 250 
00:59:51 202.104.112.168 RCPT TO - 250 
00:59:54 202.104.112.168 QUIT - 0 
關(guān)于LOG文件的含意我就不解釋了,浪費時間,嘿嘿. 
刪除方法: 

法一:> 此時可以 net stop smtpsvc 
再 del ............. 
別忘了 net start smtpsvc 

當(dāng)然改文件內(nèi)容也是可以的嘍! 


(5) eventlog日志文件 
它包含: 安全日志 
統(tǒng)日志 
應(yīng)用程序日志 
題外話: 看看應(yīng)用程序日志,覺得記錄得很詳細(xì). 
象這樣: 外殼意外停止并且Explorer.exe被重新啟動。 
Detection of product ''{00000804-78E1-11D2-B60F-006097C998E7}'', feature ''TCWord2Files'' failed during request for component '''' 
它是關(guān)鍵服務(wù)。如果不用第三方工具，在命令行上幾乎沒有刪除安全日志和系統(tǒng)日志的可能,(至少我還沒想 
出來)所以還是得用雖然簡單但是速度慢得死機的辦法：打開“控制面板”的“管理工具”中的 “事件查看器” 
(98沒有，知道用Win2k的好處了吧)，在菜單的“操作”項有一個名為“連接到另一臺 計算機”的菜單，點擊它： 
輸入遠程計算機的IP，等,然后選擇遠程計算機的安全性日志，右鍵選擇它的屬性,點擊屬性里的“清除日志” 
按鈕，等啊等啊等.......OK！安全日志清除完畢！同樣的忍受痛苦去清除系統(tǒng)日志。