伺服器操作日誌

1、手工清除伺服器日誌

在入侵過程中，遠程主機的Windows系統會對入侵者的登錄、注銷、連接，甚至復制文件等操作都進行記錄，並把這些記錄保存到日誌文件中。在這些日誌文件中，記錄著入侵者登錄所用的賬號，以及入侵者的IP地址等信息。入侵者可以通過多種途徑來擦除入侵留下的痕跡，其中手段之一就是用伺服器日誌進行手動清除。

具體的操作步驟如下。

步驟1：先使用管理員賬號與遠程主機建立IPC$連接，在遠程主機的【控制面板】窗口中雙擊【管理工具】圖標，即可打開【管理工具】窗口。雙擊【計算機管理】圖標項，即可打開【計算機管理】窗口。

步驟2：在其右邊列表中展開【計算機管理（本地）】→【系統工具】→【事件查看器】選項，即可打開事件日誌窗格，如圖8-35所示。其中的事件日誌分為 "應用程序"日誌、"安全性"日誌及"系統"日誌3種，這3種日誌分別記錄了不同種類的事件。 

步驟3：用滑鼠右鍵單擊要刪除的日誌文件，在彈出的快捷菜單中選擇【清除】命令，即可清除選中的日誌。如果想徹底刪除日誌文件，則可以在【計算機管理】窗口的左窗格中展開【計算機管理（本地）】→【服務和應用程序】→【服務】選項，再在其右窗格中用滑鼠右健單擊【Event Log】服務，在彈出的快捷菜單中選擇【屬性】命令，在打開的【屬性】對話框中把該服務禁用，如圖8-36所示。

（點擊查看大圖）圖8-35 【計算機管理】窗口中的事件記錄窗格 

（點擊查看大圖）圖8-36  禁用"Event Log"服務 

此後，用戶只要重新啟動系統，該主機/伺服器就不會對任何操作進行日誌記錄了。

2、怎麼查看Windows的系統操作記錄日誌

確保盤的格式為NTFS。選擇磁碟（如C盤），右擊屬性，如圖：

右擊想要監測的文件夾（如C:UsersG.WardDesktopTest），點擊安全>>高級，在「審核」選項卡下，點擊「添加」，加入Everyone，並且對「刪除子文件夾及文件」和「刪除」的成功和失敗都啟用審核

設置安全，審核

添加設置，everone

開始>>運行>>gpedit.msc，計算機配置-Windows設置--安全設置-本地策略--審核  策略-審核對象訪問，中啟用成功和失敗

3、求教大神，windows server2008的伺服器，機器重啟的日誌記錄是在哪裡看

查看windows server2008伺服器的重啟日誌記錄步驟如下：

1、點擊菜單欄左下角「開始」按鈕，在右側的菜單欄中點擊「管理工具」選項。

2、在彈出的右側菜單欄中點擊「事件查看器」選項。

3、彈出的「事件查看器」界面右側，左側有「windows日誌」選項，單擊左側「+」。

4、在展開的列表中選中「系統」這一選項可以看到系統產生的日誌記錄。

5、為了方便直接查找重啟的日誌，在右側的菜單欄中點擊「篩選當前日誌…」。

6、在彈出的窗口中選擇「篩選器」選項卡，並在「任務類別」這一選項框上方的框中輸入「1074」的事件ID，接著點擊下方的「確定」即可看到系統所有的重啟日誌記錄。（註：「1074」為系統重啟的事件ID）

7、若要查看詳細信息，雙擊該條目即可。

以上為查看windows server2008伺服器的重啟日誌記錄步驟。

4、如何查看伺服器日誌進行網站分析？

工具/原料
網站伺服器、運行中網站
網站日誌分析工具、FTP工具
網站日誌查看流程
登錄虛擬主機的管理系統（本經驗以萬網為例），輸入主機的賬號以及密碼，登陸。操作如下所示：
登錄系統後台，找到"網站文件管理"中的"weblog日誌下載",並點擊。操作如下圖所示：
點擊"weblog日誌下載"，可以看到很多以"ex"+時間命名的壓縮文件可以下載。選擇所需要下載的網站日誌，點擊下載。操作如下所示：
登錄FTP工具，在根目錄下找到"wwwlogs"文件，下載所需的壓縮文件。注意：不同程序，日誌存放目錄不一樣。操作如下圖所示：
網上有很多日誌分析軟體，本經驗以"光年seo日誌分析系統"這款軟體為例子,點擊"新建分析任務"。操作如下圖所示：
在"任務導向"中，按照實際要求改任務名以及日誌類別。一般情況下可以不用修改。點擊系下一步，操作如下圖所示：
接著上一步，在"任務導向"中添加所需要分析的網站日誌（也就是本經驗第三步下載的文件），添加文件可以是一個或者多個。點擊系下一步，操作如下圖所示：
接著上一步，在"任務導向"中選擇報告保存目錄。點擊系下一步，操作如下圖所示：
完成之後，軟體會生成一件文件夾，包含一個"報告"網頁以及"files"文件，點擊"報告"網頁就可以查看網站日誌數據了。

5、Linux中的查看伺服器運行的日誌的命令是什麼呢

在 Linux 系統中，各種日誌文件（*.log）都存放於 /var/log 子目錄下面，你可以在超級用戶的狀態 # 下，進入 /var/log 子目錄，然後可以使用 more 命令查看你需要進行查看的日誌。
例如：
#cd /var/log<cr>
#more last.log<cr> （查看最後登錄 Linux 系統的用戶名都有誰）

6、系統日誌和伺服器日誌有什麼區別

系統日誌：記錄系統中硬體、軟體和系統問題的信息，同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。 伺服器日誌主要包括訪問日誌和錯誤日誌。與IIS的日誌類似，訪問日誌記錄了該伺服器所有的請求的過程，主要記錄的是客戶的各項信息，如訪問時間、內容、地址等。錯誤日誌則記錄伺服器出錯的細節等數據。

7、如何查看伺服器系統日誌

這些日誌信息對計算機犯罪調查人員非常有用。
所謂日誌是指系統所指定對象回的某些操作和其答操作結果按時間有序的集合。每個日誌文件由日誌記錄組成．每條日誌記錄描述了一次單獨的系統事件。通常情況下，系統日誌
是用戶可以直接閱讀的文本文件，其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息，這對系統監控、查詢、報表和安全審汁是十分重要的。日誌文件中的記錄可提供以下用途：監控系統資源，審汁用戶行為，對可疑行為進行報警，確定入侵行為的范圍，為恢復系統提供幫助，生成調查報告，為打擊計算機犯罪提供證據來源。
在windows操作系統中有一位系統運行狀況的忠實記錄者，它可以詳細記錄計算機從開機、運行到關機過程中發生的每一個事件，它就是「事件查看器」。用戶可以利用這個系統維護工具，收集有關硬體、軟體、系統問題方面的信息，並監視系統安全事件，將系統和其他應用程序運行中的錯誤或警告事件記錄下來，便於診斷和糾正系統發生的錯誤和問題。
可以雙擊「控制面板」中「管理工具」中的「事件查看器」，打開事件查看器窗口

8、日誌伺服器有什麼作用?

為了維護自身系統資源的運行狀況，計算機系統一般都會有相應的日誌記錄系統有關日常事件或者誤操作警報的日期及時間戳信息。這些日誌信息對計算機犯罪調查人員非常有用。
所謂日誌（Log）是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日誌文件由日誌記錄組成，每條日誌記錄描述了一次單獨的系統事件。通常情況下，系統日誌是用戶可以直接閱讀的文本文件，其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息，這對系統監控、查詢、報表和安全審計是十分重要的。日誌文件中的記錄可提供以下用途：監控系統資源；審計用戶行為；對可疑行為進行告警；確定入侵行為的范圍；為恢復系統提供幫助；生成調查報告；為打擊計算機犯罪提供證據來源。

9、如何通過查看伺服器日誌，找到是哪一個帳戶刪除了伺服器上的文件？

記錄NTFS分區中刪除文件的記錄
打開組策略中的算機配置-安全設置-本地策略-審核策略的審核對對像防問, 雙擊出現的對話框中鉤選成功和失敗，經過上面的設置，現在就可以設置文件和文件夾的審核了。（注須在NTFS的分區上，系統中去掉簡單文件共享，否則NTFS分區中安全標簽是隱藏了的）
比 如說現在我們須對d:\客戶資料的文件夾做審核。選取文件夾，打開屬性，選擇安性標簽，再點高級，然後選審核，默認是沒有審核項目的，點擊添加，添加我們 所要監視審核對像的用戶及組，確定後打開的對話框中鉤選取「刪除」成功。然後再選取「將這些審核項目只應用到這個容器中的對像和/容器上」復選框。確定即 可。查看記錄時打開事件查看器安全性即可看到事件。

優點：可監控到客戶端對文件特殊使用狀況，如某用戶刪除文件夾或文件，都可以通過日誌文件查看到。另也可以提高網路安全，通過相應的設置可以監控到哪些非法的用戶登陸過本機系統，做好相應的措施。