■江蘇 孫秀洪

編者按：日常工作中，日志是分析和處理問題的基本來源，本文列舉了一些和日志相關(guān)的問題，希望對大家的工作有所幫助。

請問怎樣限制SQL Server數(shù)據(jù)庫的日志文件大?。?/p>

答：在Windows系統(tǒng)環(huán)境下，逐一點選“開始”、“程序”、“Microsoft SQL Server”、“企業(yè)管理器”命令，彈出SQL Server企業(yè)管理器窗口，在該窗口左側(cè)列表中，將鼠標定位在“Microsoft SQL Servers”、“SQL Server組”、“（Local）”節(jié)點上，用鼠標右鍵單擊該節(jié)點下面的特定數(shù)據(jù)庫選項，執(zhí)行右鍵菜單中的“屬性”命令，切換到本地SQL Server服務(wù)器特定數(shù)據(jù)庫屬性對話框。點擊“事務(wù)日志”標簽，打開對應(yīng)標簽設(shè)置頁面，在“最大文件大小”位置處，選中“將文件增長限制為”選項，同時輸入合適的數(shù)值，單擊“確定”按鈕保存設(shè)置即可。

請問Windows系統(tǒng)的Scheduler服務(wù)日志默認存儲在哪個文件中？

答：存儲在“%systemroot%/schedlgu.txt”文件中。

Web日志是分析網(wǎng)站數(shù)據(jù)的最基礎(chǔ)來源，為了更好地分析、處理數(shù)據(jù)，我想知道這種日志有哪些格式？

答：Web日志一般有兩種格式，一類是基于Apache服務(wù)器的NCSA日志格式，另一類是基于IIS服務(wù)器的W3C日志格式。其中，NCSA格式又分為NCSA普通日志格式、NCSA擴展日志格式這兩種類型，后一種日志類型比較常見，而W3C擴展日志格式雖然有豐富的輸出，但應(yīng)用并不廣泛。

Linux系統(tǒng)日志文件中記錄了用戶的一切操作痕跡，很多黑客為了清除系統(tǒng)攻擊痕跡，往往會想盡一切辦法訪問修改系統(tǒng)日志文件，請問如何才能保護該系統(tǒng)日志文件的安全？

答：可以采取多種方法保護日志訪問安全：首先通過合適設(shè)置，只允許root用戶賬號訪問系統(tǒng)日志文件。其次將不再使用的xinetd服務(wù)停用掉。第三啟用系統(tǒng)內(nèi)核防火墻功能，禁止系統(tǒng)主機或者網(wǎng)絡(luò)訪問系統(tǒng)的UDP 514端口。第四以非root方式登錄Ubuntu系統(tǒng)。

Linux系統(tǒng)日志中的每個消息都由四個域的固定格式組成，請問這四個域指的是什么？

答：指的是時間標簽、生成消息的計算機的名字、生成消息的子系統(tǒng)的名字以及消息的內(nèi)容這四個區(qū)域。

請問怎樣查看Windows系統(tǒng)日志內(nèi)容？

答：很簡單！可以依次點擊“開始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊“管理工具”、“事件查看器”圖標，進入事件查看器窗口，在這里能看到日志功能自動記憶的各種事件，例如啟動過程中系統(tǒng)加載了哪些驅(qū)動程序，系統(tǒng)在運行過程中出現(xiàn)了哪些錯誤等等。

當(dāng)然，也可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“eventvwr.msc”命令，開啟事件查看器窗口，這樣也能查找到日志功能自動記憶的所有事件。

如何為特定用戶賬號授權(quán)，讓其可以正常訪問Web日志文件？

答：首先打開Web服務(wù)器所在主機系統(tǒng)的資源管理器窗口，找到日志文件的新路徑，用鼠標單擊保存文件夾圖標，執(zhí)行右鍵菜單中的“屬性”命令，打開對應(yīng)文件夾的屬性對話框。選擇其中的“安全”標簽，展開安全標簽設(shè)置頁面，在這里將其他用戶賬號全部刪除，再單擊“添加”按鈕，從其后彈出的賬號選擇對話框中，選中并導(dǎo)入特定的合法用戶賬號，再為合法用戶賬號設(shè)置合適的訪問權(quán)限，最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作即可。

有一次，筆者偶然發(fā)現(xiàn)SQL Server數(shù)據(jù)庫提示“80040e31”錯誤，在服務(wù)器系統(tǒng)中檢查CPU、內(nèi)存資源占用率時，發(fā)現(xiàn)它們占用很低，而且在事件日志中，看到數(shù)據(jù)庫中相關(guān)文件的自動增長出現(xiàn)超時提示，不知道為什么會出現(xiàn)這種現(xiàn)象？

答：很可能是系統(tǒng)管理員在設(shè)置數(shù)據(jù)庫時，文件增長是按百分比來增長的，當(dāng)數(shù)據(jù)庫文件尺寸很大時，新增操作一般都會報超時，而此時系統(tǒng)CPU、內(nèi)存等資源占用率往往都很低。要避免上述現(xiàn)象，只要將上述的文件增長設(shè)置為一個更低的百分比或者直接指定增加多少兆字節(jié)即可。

近日，訪問某個日志文件時，筆者發(fā)現(xiàn)了“20200407 04:091 10.192.60.17 10.192.60.35 80 GET/index.asp 200 Mozilla/4.0+(compatible;+MSIE+11.0;+W indows+XP;+DigExt)”這一段代碼，請問從這段代碼中能讀出哪些信息？

答：通過分析這段代碼，不難看出2020年4月7日，IP地址為10.192.60.17的用戶通過訪問IP地址為10.192.60.35服務(wù)器的80端口，瀏覽了一個頁面index.asp，這位用戶使用的上網(wǎng)瀏覽器為compatible;+MSIE+1 1.0;+Windows+XP+DigExt。很顯然，有點水平的系統(tǒng)管理員能通過分析處理安全日志、Ftp日志和Web日志，來準確判斷惡意用戶的IP地址以及入侵時間。

請問怎樣自動清除SQL Server 2005數(shù)據(jù)庫日志內(nèi)容？

答：只要逐一點擊“開始”、“程序”、“Microsoft SQL Server”、“企業(yè)管理器”命令，彈出SQL Server企業(yè)管理器窗口，在該窗口左側(cè)列表中，將鼠標定位在“Microsoft SQL Servers”、“SQL Server組”、“（Local）”節(jié)點上，用鼠標右鍵單擊該節(jié)點下面的特定數(shù)據(jù)庫選項，執(zhí)行右鍵菜單中的“所有任務(wù)”、“收縮數(shù)據(jù)庫”、“收縮文件”、“選擇日志文件”選項，在其后界面的收縮方式設(shè)置項處，設(shè)置好收縮到多少兆，直接輸入合適數(shù)值，確認后即可。日后數(shù)據(jù)庫日志容量只要大于設(shè)定的數(shù)值，日志內(nèi)容就能被自動清除了。

Linux系統(tǒng)包含三個主要的日志子系統(tǒng)，它們分別有什么作用？

答：Linux系統(tǒng)包含連接時間日志、進程統(tǒng)計日志、錯誤日志等三個子系統(tǒng)，其中連接時間日志子系統(tǒng)專門跟蹤記錄誰在何時登錄到服務(wù)器系統(tǒng)，進程統(tǒng)計日志系統(tǒng)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計，錯誤日志子系統(tǒng)專門向文件“/var/log/messages”報告值得注意的事件。

請問普通用戶能否刪除Windows系統(tǒng)日志文件？

答：不可以！所有類型的日志文件，往往都會受到Event Log服務(wù)的保護，任意一種日志文件，都不允許用戶隨意刪除，當(dāng)然其中的內(nèi)容可以被定期清空。

一些黑客、木馬程序常常會偷偷創(chuàng)建系統(tǒng)隱藏賬號，并利用該賬號監(jiān)控或控制系統(tǒng)運行，請問有沒有辦法在第一時間發(fā)現(xiàn)陌生隱藏賬號的創(chuàng)建行為？

答：在Windows 7系統(tǒng)環(huán)境下，通過事件查看器內(nèi)置的附加任務(wù)功能，就可以對用戶帳號創(chuàng)建事件進行智能報警提示，我們看到該提示后，就能知道系統(tǒng)中是否有人偷偷在創(chuàng)建系統(tǒng)隱藏賬號了。只要依次單擊“開始”、“控制面板”、“管理工具”、“本地安全策略”選項，將鼠標定位到“本地策略”、“審核策略”節(jié)點上，雙擊“審核賬戶管理”，同時選中“成功”、“失敗”，單擊“確定”按鈕保存設(shè)置操作，這樣Windows 7系統(tǒng)就能對用戶賬戶管理方面的事件自動跟蹤記錄了。

其次打開計算機管理窗口，依次跳轉(zhuǎn)到“本地用戶和組”、“用戶”節(jié)點上，在該節(jié)點下自由創(chuàng)建一個用戶賬號。之后打開系統(tǒng)事件查看器列表窗口，逐一展開“Windows日志”、“安全”分支，找到之前創(chuàng)建用戶賬號時生成的事件記錄，右擊該事件記錄，執(zhí)行“將任務(wù)附加到此事件”命令，彈出基本任務(wù)添加設(shè)置框，依照提示選中“顯示消息”選項，輸入好消息標題與內(nèi)容，單擊“完成”按鈕返回。

這樣，日后當(dāng)黑客、木馬程序嘗試偷偷創(chuàng)建系統(tǒng)隱藏賬號時，系統(tǒng)就能及時監(jiān)控到這一異常操作行為，并出現(xiàn)有關(guān)報警提示，看到這樣的報警提示，就可以識別出系統(tǒng)中是否有隱藏帳號被偷偷創(chuàng)建了。一旦發(fā)現(xiàn)有隱藏賬號，一定要及時將它們刪除或停用，以避免它們被黑客、木馬程序非法利用。

有的網(wǎng)絡(luò)管理員喜歡查看日志文件，來判斷IIS平臺的安全狀態(tài)。但黑客常常會偷偷修改日志文件，以隱藏對IIS平臺的攻擊痕跡，請問如何保護該平臺的日志安全？

答：首先進入IIS平臺管理窗口，打開特定站點的屬性對話框，選擇“網(wǎng)站”選項卡，在對應(yīng)選項設(shè)置頁面中選中“啟用日志記錄”選項，在“活動日志格式”位置處定義好日志文件的格式，默認格式為W3C擴展日志文件格式，單擊“屬性”按鈕，切換到日志文件屬性對話框。在這里，我們可以設(shè)置日志文件的大小，日志文件的保存路徑，默認保存路徑為“%Windir%System32LogFiles”，單擊“瀏覽”按鈕，可以指定一個新的保存位置，當(dāng)然該位置最好不要與IIS站點主目錄處于相同的磁盤分區(qū)中。

其次進入系統(tǒng)的資源管理器窗口，找到日志文件的新路徑，用鼠標單擊保存文件夾圖標，執(zhí)行右鍵菜單中的“屬性”命令，彈出目標文件夾的屬性設(shè)置框。選擇“安全”選項卡，展開安全選項設(shè)置頁面，在這里將除了合法可信用戶之外的其他賬號依次刪除，同時為合法可信用戶授予合適的訪問權(quán)限，最后單擊“確定”按鈕退出設(shè)置對話框。

請問如何對日志內(nèi)容執(zhí)行清空操作？

答：很簡單！先打開事件查看器窗口，用鼠標右鍵單擊該窗口左側(cè)顯示區(qū)域中的某種類型的日志文件，從彈出的快捷菜單中執(zhí)行“清除所有事件”命令，就能將指定類型的日志文件全部清空了。

既然Windows的系統(tǒng)日志記錄了所有與系統(tǒng)訪問有關(guān)的一切操作，請問有沒有辦法通過日志記錄，查看每次的系統(tǒng)開機、關(guān)機時間？

答：有辦法！可以依次點擊“開始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊其中的“系統(tǒng)和維護”、“管理工具”、“事件查看器”圖標，進入事件查看器窗口。將鼠標定位到該窗口左側(cè)的“Windows Logs”、“系統(tǒng)”節(jié)點上，用鼠標右鍵單擊“系統(tǒng)”節(jié)點，點擊右鍵菜單中的“篩選當(dāng)前日志”命令，切換到日志篩選對話框。選擇“篩選器”選項卡，在對應(yīng)選項設(shè)置頁面的“記錄時間”位置處，選擇特定的時間段范圍，將事件來源參數(shù)選擇為“eventlog”，在“包括/排除事件ID”文本框中，輸入“6005，6006”，單擊“確定”按鈕返回到“Windows Logs”、“系統(tǒng)”節(jié)點下面，這樣我們就能查看到特定時間段內(nèi)的開機記錄和關(guān)機記錄了。雙擊某個記錄選項，從其后彈出的界面中，我們就能知道具體的開機時間和關(guān)機時間，有了這些證據(jù)，就能判斷出別人究竟偷用自己的計算機多長時間了。

當(dāng)然，對于Windows XP系統(tǒng)來說，我們可以先進入系統(tǒng)資源管理器窗口，找到“C:Windowsschedlgu.txt”文件，該文件就包含Windows系統(tǒng)自安裝以來，曾經(jīng)記錄過的開機時間和關(guān)機時間，用記事本程序打開目標日志文件，就能快速查到某日的開機時間和關(guān)機時間信息。

對于Web服務(wù)器來說，不同格式的日志文件，其存儲的數(shù)據(jù)內(nèi)容是否不同？

答：雖然日志文件格式不同，但其所存儲的內(nèi)容都是相同的。

IIS5.0以上版本系統(tǒng)默認使用W3C格式的日志文件，請問該日志文件記錄的內(nèi)容包括哪些？

答：該日志記錄的內(nèi)容包括客戶端地址、瀏覽器類型、使用協(xié)議、訪問目標、訪問日期、訪問時間、結(jié)果狀態(tài)等常規(guī)信息，仔細對這些信息進行篩選分析，能幫助單位或企業(yè)作出更好的決策，例如對于制造類企業(yè)來說，可決定相關(guān)產(chǎn)品有沒有繼續(xù)擴大生產(chǎn)的必要，或者決定是否有必要對站點進行完善升級，讓其更有吸引力，以便讓客戶和單位內(nèi)部員工能實現(xiàn)高效訪問。

除此而外，從日志信息中，我們還能知道是否有惡意用戶對Web服務(wù)器進行了入侵，因為任何入侵痕跡Web服務(wù)器都能一點不漏的記憶下來，通過分析攻擊痕跡，可以得知惡意用戶的攻擊手法、攻擊習(xí)慣以及其他一些攻擊操作等，這些都有利于網(wǎng)絡(luò)管理員及時采取針對性措施，防范惡意用戶的再次攻擊。一個有經(jīng)驗的網(wǎng)絡(luò)管理員往往會定期查看Web服務(wù)器中各種類型的日志文件，從中判斷Web服務(wù)器是否存在非法登錄、程序是否執(zhí)行出錯、系統(tǒng)是否非正常關(guān)機、系統(tǒng)是否遭遇攻擊等信息，通過查看具體的日志內(nèi)容，可以快速定位錯誤或安全威脅的來源，并迅速采取應(yīng)對措施，讓W(xué)eb服務(wù)器正常工作。

請問記錄登錄Linux系統(tǒng)過程的日志文件默認位于什么位置？

答：一般位于“/var/log/secure”路徑。

為了保護IIS系統(tǒng)的Web日志安全，請問如何將日志保存路徑轉(zhuǎn)移到其他位置？

答：首先登錄IIS系統(tǒng)所在主機，逐一單擊“開始”、“設(shè)置”、“管理工具”、“Internet信息服務(wù)器”選項，彈出IIS控制臺界面，選擇Web服務(wù)器名稱，打開它的右鍵菜單，選擇“屬性”命令，彈出Web服務(wù)器屬性對話框。點擊“網(wǎng)站”標簽，選中“啟用日志記錄”選項，點擊“屬性”按鈕，展開日志記錄屬性對話框。在默認保存位置文本框中，輸入新的保存路徑，確認后保存設(shè)置即可。

當(dāng)系統(tǒng)遇到故障的時候，很多人會通過日志尋找故障根源?？捎袝r系統(tǒng)遇到意外，用戶無法使用事件查看器訪問日志內(nèi)容，這該如何是好呢？

答：當(dāng)Windows系統(tǒng)遭遇病毒攻擊的時候，事件查看器程序可能會被病毒強行禁止運行，這樣用戶就無法通過它查看各種事件日志。遇到這種情形時，不妨從網(wǎng)上下載使用“MyEventViewer”這款外力工具，來訪問系統(tǒng)日志內(nèi)容，因為它能完全替代事件查看器功能，允許用戶輕松查看事件列表中的多個事件，以及在主窗口中會顯示事件的描述和數(shù)據(jù)，而不用打開一個新窗口才能查看。

一般來說，當(dāng)黑客成功通過IPC$共享連接通道入侵遠程服務(wù)器系統(tǒng)后，所有入侵痕跡都會被服務(wù)器系統(tǒng)自動記錄，可是用戶往往無法從中查找到相關(guān)入侵痕跡，請問這是怎么回事？

答：很簡單！為了躲避網(wǎng)管員的安全防范，黑客在入侵完服務(wù)器系統(tǒng)后，往往會清除日志記錄，或者通過肉雞入侵。

大家知道，Windows系統(tǒng)的日志功能會將用戶的任何操作痕跡自動記錄下來，包括什么時候開機、關(guān)機的，訪問了哪些網(wǎng)站，運行了哪些應(yīng)用程序等等；在多人共享使用一臺計算機的情況下，這種日志功能顯然會泄露用戶的隱私信息，請問有沒有辦法不讓W(xué)indows系統(tǒng)的日志功能記錄用戶的操作隱私？

答：只要關(guān)閉系統(tǒng)中的Windows Event Log服務(wù)，就能阻止Windows系統(tǒng)的日志功能偷偷記錄用戶的操作隱私了。在關(guān)閉目標系統(tǒng)服務(wù)時，可以依次點擊“開始”、“運行”選項，在系統(tǒng)運行框中執(zhí)行“services.msc”命令，彈出系統(tǒng)服務(wù)列表窗口，雙擊Windows Event Log服務(wù)選項，在對應(yīng)服務(wù)屬性框的“常規(guī)”標簽頁面中，按“停止”按鈕，同時將該服務(wù)的啟動類型參數(shù)修改為“自動”，再單擊“確定”按鈕即可。

在長時間工作之后，DHCP服務(wù)器的運行狀態(tài)可能會存在一些問題，那么如何才能及時了解它的運行狀態(tài)變化情況呢？

答：我們只要啟用DHCP服務(wù)器的審核記錄功能，讓該功能自動追蹤記錄DHCP服務(wù)器的運行狀態(tài)，日后只要定期查看相關(guān)的日志文件，就能及時了解它的運行狀態(tài)變化情況了。在啟用審核記錄功能時，先打開DHCP控制臺窗口，右擊本地主機名稱，執(zhí)行“屬性”命令，點選“常規(guī)”標簽，選中“啟用DHCP審核記錄”選項，最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作。啟用了審核記錄功能后，該功能會將DHCP服務(wù)器工作狀態(tài)信息自動存儲到“X:WINNTSystem32dhcp”文件夾中；為了安全起見，我們可以修改該日志文件的默認路徑，讓非法用戶無法找到該文件。

現(xiàn)在的局域網(wǎng)經(jīng)常會受到ARP病毒的攻擊，每次遭遇病毒攻擊后，H3C交換機的日志功能，幾乎都能將病毒引起的地址沖突記錄記憶下來，那么如何通過查看日志記錄，找出具體感染病毒的主機系統(tǒng)嗎？

答：首先在交換機后臺系統(tǒng)，使用“dis logbuff”命令，查看后臺系統(tǒng)日志信息，找到具體的地址沖突記錄，從中記下感染ARP病毒的主機MAC地址，以及該主機系統(tǒng)所處的VLAN信息。其次根據(jù)VLAN信息，查找單位的組網(wǎng)資料，獲得病毒主機所連交換機的IP地址。第三遠程登錄進目標交換機后臺系統(tǒng)，使用“disp macaddress”命令，來查看該交換機的端口與MAC地址的映射記錄；第四根據(jù)病毒主機MAC地址信息，判斷出病毒主機究竟連接在目標交換機的那個交換端口上。第五進入病毒主機所連交換端口視圖模式狀態(tài)，執(zhí)行“shutdown”命令，切斷病毒主機與單位局域網(wǎng)的連接，以免ARP病毒繼續(xù)攻擊網(wǎng)絡(luò)中的其他主機。第六趕到病毒主機與交換機所連端口現(xiàn)場，檢查端口線纜上是否有標簽說明，或者直接順著網(wǎng)絡(luò)線纜，找出病毒主機的具體位置。最后使用專業(yè)工具查殺干凈ARP病毒，再將病毒主機接入網(wǎng)絡(luò)，同時在對應(yīng)交換端口視圖模式狀態(tài)下執(zhí)行“undo shutdown”命令，恢復(fù)病毒主機的上網(wǎng)連接狀態(tài)。

客戶端系統(tǒng)能否快速瀏覽網(wǎng)頁，與DNS服務(wù)器工作狀態(tài)的好壞有關(guān)；為了讓DNS服務(wù)器始終運行穩(wěn)定，我們有必要定期查看它的工作狀態(tài)，以便提前知道它的運行隱患，請問如何查看DNS服務(wù)器的工作狀態(tài)？

答：先以系統(tǒng)管理員權(quán)限登錄服務(wù)器，依次單擊“開始”、“程序”、“管理工具”、“DNS”命令，展開DNS服務(wù)器控制臺，右擊DNS服務(wù)器主機，點選右鍵菜單中的“屬性”命令；點選屬性對話框中的“日志”選項卡，在對應(yīng)選項設(shè)置頁面指定的日志文件中，記錄了DNS服務(wù)器的工作狀態(tài)信息，包括應(yīng)答方面的、通知方面的、查詢方面的信息。日后，定期打開該日志文件，就能查看到DNS服務(wù)器的工作狀態(tài)了。

請問IIS日志文件的編碼格式一般有幾種？

答：一般有兩種格式，分別為UTF-8格式與ANSI格式。其中，UTF-8格式不但支持日志中的英文語言，也支持中文語言，使用該日志格式確保用戶日后閱讀日志時不會遇到亂碼內(nèi)容，而ANSI格式雖然名氣較大，但主要是為英文所設(shè)計的，用來保存其他語言時容易出現(xiàn)亂碼內(nèi)容。

IIS6.0系統(tǒng)支持集中的二進制日志記錄，請問該日志記錄有什么特點？

答：該日志記錄是多個網(wǎng)站向單個日志文件寫入不帶格式的二進制日志數(shù)據(jù)的過程，當(dāng)開啟的所有站點在Web服務(wù)器上運行時，IIS系統(tǒng)將日志數(shù)據(jù)都寫入單個日志文件。