服务器操作日志

1、手工清除服务器日志

在入侵过程中，远程主机的Windows系统会对入侵者的登录、注销、连接，甚至复制文件等操作都进行记录，并把这些记录保存到日志文件中。在这些日志文件中，记录着入侵者登录所用的账号，以及入侵者的IP地址等信息。入侵者可以通过多种途径来擦除入侵留下的痕迹，其中手段之一就是用服务器日志进行手动清除。

具体的操作步骤如下。

步骤1：先使用管理员账号与远程主机建立IPC$连接，在远程主机的【控制面板】窗口中双击【管理工具】图标，即可打开【管理工具】窗口。双击【计算机管理】图标项，即可打开【计算机管理】窗口。

步骤2：在其右边列表中展开【计算机管理（本地）】→【系统工具】→【事件查看器】选项，即可打开事件日志窗格，如图8-35所示。其中的事件日志分为 "应用程序"日志、"安全性"日志及"系统"日志3种，这3种日志分别记录了不同种类的事件。 

步骤3：用鼠标右键单击要删除的日志文件，在弹出的快捷菜单中选择【清除】命令，即可清除选中的日志。如果想彻底删除日志文件，则可以在【计算机管理】窗口的左窗格中展开【计算机管理（本地）】→【服务和应用程序】→【服务】选项，再在其右窗格中用鼠标右健单击【Event Log】服务，在弹出的快捷菜单中选择【属性】命令，在打开的【属性】对话框中把该服务禁用，如图8-36所示。

（点击查看大图）图8-35 【计算机管理】窗口中的事件记录窗格 

（点击查看大图）图8-36  禁用"Event Log"服务 

此后，用户只要重新启动系统，该主机/服务器就不会对任何操作进行日志记录了。

2、怎么查看Windows的系统操作记录日志

确保盘的格式为NTFS。选择磁盘（如C盘），右击属性，如图：

右击想要监测的文件夹（如C:UsersG.WardDesktopTest），点击安全>>高级，在“审核”选项卡下，点击“添加”，加入Everyone，并且对“删除子文件夹及文件”和“删除”的成功和失败都启用审核

设置安全，审核

添加设置，everone

开始>>运行>>gpedit.msc，计算机配置-Windows设置--安全设置-本地策略--审核  策略-审核对象访问，中启用成功和失败

3、求教大神，windows server2008的服务器，机器重启的日志记录是在哪里看

查看windows server2008服务器的重启日志记录步骤如下：

1、点击菜单栏左下角“开始”按钮，在右侧的菜单栏中点击“管理工具”选项。

2、在弹出的右侧菜单栏中点击“事件查看器”选项。

3、弹出的“事件查看器”界面右侧，左侧有“windows日志”选项，单击左侧“+”。

4、在展开的列表中选中“系统”这一选项可以看到系统产生的日志记录。

5、为了方便直接查找重启的日志，在右侧的菜单栏中点击“筛选当前日志…”。

6、在弹出的窗口中选择“筛选器”选项卡，并在“任务类别”这一选项框上方的框中输入“1074”的事件ID，接着点击下方的“确定”即可看到系统所有的重启日志记录。（注：“1074”为系统重启的事件ID）

7、若要查看详细信息，双击该条目即可。

以上为查看windows server2008服务器的重启日志记录步骤。

4、如何查看服务器日志进行网站分析？

工具/原料
网站服务器、运行中网站
网站日志分析工具、FTP工具
网站日志查看流程
登录虚拟主机的管理系统（本经验以万网为例），输入主机的账号以及密码，登陆。操作如下所示：
登录系统后台，找到"网站文件管理"中的"weblog日志下载",并点击。操作如下图所示：
点击"weblog日志下载"，可以看到很多以"ex"+时间命名的压缩文件可以下载。选择所需要下载的网站日志，点击下载。操作如下所示：
登录FTP工具，在根目录下找到"wwwlogs"文件，下载所需的压缩文件。注意：不同程序，日志存放目录不一样。操作如下图所示：
网上有很多日志分析软件，本经验以"光年seo日志分析系统"这款软件为例子,点击"新建分析任务"。操作如下图所示：
在"任务导向"中，按照实际要求改任务名以及日志类别。一般情况下可以不用修改。点击系下一步，操作如下图所示：
接着上一步，在"任务导向"中添加所需要分析的网站日志（也就是本经验第三步下载的文件），添加文件可以是一个或者多个。点击系下一步，操作如下图所示：
接着上一步，在"任务导向"中选择报告保存目录。点击系下一步，操作如下图所示：
完成之后，软件会生成一件文件夹，包含一个"报告"网页以及"files"文件，点击"报告"网页就可以查看网站日志数据了。

5、Linux中的查看服务器运行的日志的命令是什么呢

在 Linux 系统中，各种日志文件（*.log）都存放于 /var/log 子目录下面，你可以在超级用户的状态 # 下，进入 /var/log 子目录，然后可以使用 more 命令查看你需要进行查看的日志。
例如：
#cd /var/log<cr>
#more last.log<cr> （查看最后登录 Linux 系统的用户名都有谁）

6、系统日志和服务器日志有什么区别

系统日志：记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。 服务器日志主要包括访问日志和错误日志。与IIS的日志类似，访问日志记录了该服务器所有的请求的过程，主要记录的是客户的各项信息，如访问时间、内容、地址等。错误日志则记录服务器出错的细节等数据。

7、如何查看服务器系统日志

这些日志信息对计算机犯罪调查人员非常有用。
所谓日志是指系统所指定对象回的某些操作和其答操作结果按时间有序的集合。每个日志文件由日志记录组成．每条日志记录描述了一次单独的系统事件。通常情况下，系统日志
是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途：监控系统资源，审汁用户行为，对可疑行为进行报警，确定入侵行为的范围，为恢复系统提供帮助，生成调查报告，为打击计算机犯罪提供证据来源。
在windows操作系统中有一位系统运行状况的忠实记录者，它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件，它就是“事件查看器”。用户可以利用这个系统维护工具，收集有关硬件、软件、系统问题方面的信息，并监视系统安全事件，将系统和其他应用程序运行中的错误或警告事件记录下来，便于诊断和纠正系统发生的错误和问题。
可以双击“控制面板”中“管理工具”中的“事件查看器”，打开事件查看器窗口

8、日志服务器有什么作用?

为了维护自身系统资源的运行状况，计算机系统一般都会有相应的日志记录系统有关日常事件或者误操作警报的日期及时间戳信息。这些日志信息对计算机犯罪调查人员非常有用。
所谓日志（Log）是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为；对可疑行为进行告警；确定入侵行为的范围；为恢复系统提供帮助；生成调查报告；为打击计算机犯罪提供证据来源。

9、如何通过查看服务器日志，找到是哪一个帐户删除了服务器上的文件？

记录NTFS分区中删除文件的记录
打开组策略中的算机配置-安全设置-本地策略-审核策略的审核对对像防问, 双击出现的对话框中钩选成功和失败，经过上面的设置，现在就可以设置文件和文件夹的审核了。（注须在NTFS的分区上，系统中去掉简单文件共享，否则NTFS分区中安全标签是隐藏了的）
比 如说现在我们须对d:\客户资料的文件夹做审核。选取文件夹，打开属性，选择安性标签，再点高级，然后选审核，默认是没有审核项目的，点击添加，添加我们 所要监视审核对像的用户及组，确定后打开的对话框中钩选取“删除”成功。然后再选取“将这些审核项目只应用到这个容器中的对像和/容器上”复选框。确定即 可。查看记录时打开事件查看器安全性即可看到事件。

优点：可监控到客户端对文件特殊使用状况，如某用户删除文件夹或文件，都可以通过日志文件查看到。另也可以提高网络安全，通过相应的设置可以监控到哪些非法的用户登陆过本机系统，做好相应的措施。