.99%的非異常日志對問題排查作用不大，而0.01%的異常日志則起到關(guān)鍵作用。在保證異常日志鏈路查全率的前提下，提高異常日志采集速率能在業(yè)務(wù)高峰期起到重要作用。本文提出了一種分布式鏈路異常日志采集方法，能在保證異常日志鏈路查全率的前提下，提高異常日志采集速率，以提升服務(wù)異常時(shí)的運(yùn)維排查效率。1 分布式技術(shù)1.1 分布式系統(tǒng)分布式系統(tǒng)是指由多臺在網(wǎng)絡(luò)上分散的計(jì)算機(jī)通過網(wǎng)絡(luò)連接而成的系統(tǒng)，系統(tǒng)的計(jì)算處理邏輯和控制功能分布在這個系統(tǒng)網(wǎng)絡(luò)的計(jì)算機(jī)上。而計(jì)算機(jī)的分布

，其目的是從事件日志中提取業(yè)務(wù)流程的有效信息，發(fā)現(xiàn)、監(jiān)控和改進(jìn)真實(shí)的業(yè)務(wù)流程[4]。人們對流程挖掘日益增長的興趣主要有兩個驅(qū)動因素：①越來越多被記錄下來的事件提供了流程歷史的詳細(xì)信息；②需要在競爭激烈且瞬息萬變的環(huán)境中改進(jìn)和支持業(yè)務(wù)流程。流程挖掘還包括流程預(yù)測[5-6]和業(yè)務(wù)流程自動化[7]等子領(lǐng)域，流程發(fā)現(xiàn)是最具挑戰(zhàn)性的流程挖掘任務(wù)之一，其可以在不使用任何先驗(yàn)信息的情況下從事件日志中發(fā)現(xiàn)流程模型，近年來受到了外界的廣泛關(guān)注。在過去的20年中，國內(nèi)外學(xué)者已

搜集環(huán)境中產(chǎn)生的日志并且實(shí)時(shí)分析解決環(huán)境中出現(xiàn)的異常是非常必要的。然而隨著環(huán)境中計(jì)算資源和用戶的增多，各節(jié)點(diǎn)產(chǎn)生的日志也越來越多，使用傳統(tǒng)的人工手動分析大量日志的方法已經(jīng)成為了非常耗時(shí)耗力并且容易出錯的方法，因此如何進(jìn)行自動化日志分析對于環(huán)境的正常運(yùn)行和安全保障具有極其重要的意義。為了解決日志自動化分析的問題，近年來許多研究人員都采用各種數(shù)據(jù)挖掘的方法對日志進(jìn)行分析并診斷異常。比如Xu等就通過主成分分析法對控制臺日志數(shù)據(jù)進(jìn)行異常診斷，Lou等通過不變量挖掘

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)日志分析服務(wù)技術(shù)研究金京犬（安徽郵電職業(yè)技術(shù)學(xué)院，安徽 合肥 230031 ）為幫助網(wǎng)絡(luò)安全運(yùn)維人員從海量日志數(shù)據(jù)中精準(zhǔn)定位關(guān)鍵信息，文章重點(diǎn)研究了各類日志分析時(shí)的關(guān)注點(diǎn)和日志分析規(guī)則與技巧?；谏鲜黾夹g(shù)，文章給出了一個Web日志案例的分析驗(yàn)證實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明：研究各類日志分析關(guān)注點(diǎn)可快速定位日常安全威脅、及時(shí)排查故障。應(yīng)急響應(yīng)；日志分析；Web應(yīng)用日志；操作系統(tǒng)日志網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜，規(guī)模越來越大，各類應(yīng)用系統(tǒng)千差萬別，網(wǎng)絡(luò)安全事件頻發(fā)，

引言分布式的服務(wù)日志有著兩個特點(diǎn)，首先日志的數(shù)據(jù)量是海量的，大規(guī)模的系統(tǒng)每小時(shí)打印日志約50Gb（約1.2 億～2 億行）的量級［1］；另外分布式系統(tǒng)產(chǎn)生的日志都是分散在不同的服務(wù)器目錄下。由于日志數(shù)據(jù)是海量且分散的，因此對整個分布式系統(tǒng)的日志進(jìn)行分析與異常檢測會比單機(jī)系統(tǒng)復(fù)雜很多。所以就需要有一種高效的日志采集和分析方法來幫助完成對日志的分析工作，從日志中發(fā)現(xiàn)異常來避免系統(tǒng)異常而造成的嚴(yán)重后果。近年來，有許多的科研團(tuán)隊(duì)對日志異常檢測展開了相關(guān)研究工作，并

任何信息都會產(chǎn)生日志，留下痕跡。設(shè)備的日志和系統(tǒng)的日志，能給予我們很多重要的信息，而關(guān)于網(wǎng)絡(luò)安全的日志顯得尤為重要，它能快速溯源黑客攻擊痕跡、數(shù)據(jù)泄露追溯、運(yùn)維提升效率等。因此，基于網(wǎng)絡(luò)安全下的日志審計(jì)技術(shù)有著十分重要的意義。1 日志的價(jià)值1.1 國家戰(zhàn)略政策日志是行為或狀態(tài)詳細(xì)描述的載體，其時(shí)效性與信息豐富程度在網(wǎng)絡(luò)安全事件分析、事件回溯和取證過程中起到重要作用。在法律層，日志也是重要的電子證據(jù)，日志記錄、監(jiān)控、審計(jì)手段等，可以幫助有效地減少信息破壞、信

之一[1]。系統(tǒng)日志的設(shè)計(jì)目的是記錄系統(tǒng)的實(shí)時(shí)運(yùn)行狀態(tài)以及系統(tǒng)運(yùn)行時(shí)出現(xiàn)的關(guān)鍵問題，因此系統(tǒng)日志對于后期分析系統(tǒng)狀態(tài)具有重要意義。基于日志數(shù)據(jù)的異常檢測是指通過信息化方法分析系統(tǒng)運(yùn)行時(shí)產(chǎn)生的日志數(shù)據(jù)，從而實(shí)現(xiàn)對系統(tǒng)的異常檢測。隨著計(jì)算機(jī)軟硬件的快速發(fā)展，系統(tǒng)也變得愈加復(fù)雜，更容易被敵對攻擊者發(fā)現(xiàn)并利用漏洞對系統(tǒng)進(jìn)行攻擊。因此，異常檢測更加復(fù)雜，傳統(tǒng)的檢測方法逐漸不適用。除此以外，系統(tǒng)日志的規(guī)模也隨著計(jì)算機(jī)軟硬件的發(fā)展迅速增長，人工進(jìn)行分析和標(biāo)記變得非常困難

33)0 引 言日志是指在各種服務(wù)、框架和程序中生成的文本消息，是開發(fā)人員和用戶之間的重要接口。如今，日志數(shù)據(jù)的數(shù)量正在迅速增長，日志數(shù)據(jù)已成為有價(jià)值的數(shù)據(jù)源，因?yàn)槠渲邪脩舻恼鎸?shí)數(shù)據(jù)，而且它是部分結(jié)構(gòu)化的，因此無須費(fèi)力即可提取某些數(shù)據(jù)。因此，數(shù)據(jù)挖掘技術(shù)通常應(yīng)用于日志數(shù)據(jù)以執(zhí)行日志分析。該工作流程廣泛應(yīng)用于服務(wù)管理。日志分析包括異常檢測、故障診斷和性能改進(jìn)等領(lǐng)域。但是，要充分利用日志數(shù)據(jù)，日志解析是首要任務(wù)。由于日志解析的重要性，已經(jīng)有很多學(xué)者對其進(jìn)行

閩人讀取和查找日志文件我們可以借助Power Shell命令行直接查看系統(tǒng)中保存的所有日志文件。以管理員身份啟動Powe r Sh e l l，輸入“Wev tUtil el”命令并回車（每輸入一條命令均需回車確認(rèn)，下同），即可查看到本機(jī)中所有的日志文件。繼續(xù)執(zhí)行“Wev tUtil el |measure-object”命令，還可以統(tǒng)計(jì)日志的總數(shù)（圖2）。我們有時(shí)需要從眾多日志文件中查找指定的日志，特別是查詢其中各大類日志下不分框的小類。比如在系統(tǒng)出現(xiàn)故

統(tǒng)中通常存在海量日志，包含與系統(tǒng)相關(guān)的重要信息，例如系統(tǒng)運(yùn)行狀態(tài)、用戶行為操作等，通過分析這些數(shù)據(jù)對感知系統(tǒng)狀態(tài)、改善產(chǎn)品的用戶體驗(yàn)等有重要作用。因此，日志常被攻擊者選為攻擊目標(biāo)，惡意人員通過對日志的修改會引誘以日志為基礎(chǔ)的系統(tǒng)分析被誤導(dǎo)，進(jìn)而影響系統(tǒng)安全。區(qū)塊鏈作為當(dāng)前信息學(xué)科中的熱門技術(shù)，自提出以來就在全球范圍內(nèi)引起了廣泛關(guān)注，并且被應(yīng)用于金融、醫(yī)療、法律等領(lǐng)域。區(qū)塊鏈網(wǎng)絡(luò)不依靠中心節(jié)點(diǎn)而達(dá)成共識，實(shí)現(xiàn)了非可信環(huán)境中數(shù)據(jù)的不可篡改性，能夠有效地保證鏈上

工作效率[1]。日志記錄作為TIAS 中不可或缺的功能,是目前最常見的故障信息載體[2],在故障問題分析和查找中發(fā)揮著重要作用。一般日志模塊,僅提供日志文件名稱、文件存儲位置、文件大小、日志描述字符串、日志記錄時(shí)間等接口。日志模塊的使用人員通過設(shè)置日志文件名稱、位置、大小對日志模塊進(jìn)行初始化操作后,通過寫日志接口傳遞字符串描述參數(shù),完成一條日志的記錄。由于上述方法僅以一個字符串參數(shù)描述日志的記錄,未對日志記錄的格式做出規(guī)范,因此受制于開發(fā)人員的編程習(xí)慣等因

程中，打印出來的日志里邊有很多不明不白的信息，影響我們查看日志的效率。能正確的定位錯誤和找到自己需要的日志信息是一件很幸福的事，要想辦法把不需要的日志給屏蔽掉，Logcat Filter能夠完美勝任這個功能。在日志過濾器中運(yùn)用正則表達(dá)式可以保留自己想要的日志信息或過濾掉無用的日志信息，使用轉(zhuǎn)義字符或特殊字符序列來描述具有特定含義的過濾條件。1 Android studio中的正則表達(dá)式正則表達(dá)式（通?？s寫成“regex”）是一種可用于字符串模式匹配和字符串

器生成的大量訪問日志和其他錯誤日志，通過查詢這些日志內(nèi)容可以了解相關(guān)的硬件信息，以及發(fā)現(xiàn)配置過程中發(fā)生的錯誤的原因。當(dāng)管理服務(wù)器數(shù)量達(dá)到數(shù)百臺時(shí)，仍然使用依次登錄每臺機(jī)器的方式查詢日志數(shù)據(jù)，不僅麻煩，而且效率很低，運(yùn)維人員要花費(fèi)數(shù)倍的時(shí)間。后來，人們開始使用集中式管理來收集和匯總所有服務(wù)器上的日志，使用Linux命令實(shí)現(xiàn)檢索和統(tǒng)計(jì)，但處理數(shù)百臺服務(wù)器生成的日志結(jié)果也不理想。因此網(wǎng)絡(luò)運(yùn)維人員需要一套可以高效率統(tǒng)一收集日志的可視化系統(tǒng)。為了解決上述問題，需要設(shè)

息記錄到某種事件日志中(例如系統(tǒng)日志或應(yīng)用程序日志).日志被開發(fā)人員和操作人員廣泛用于確保系統(tǒng)可靠性，因?yàn)樗鼈兺ǔＪ窃谏a(chǎn)環(huán)境中記錄詳細(xì)的系統(tǒng)運(yùn)行時(shí)信息的唯一可用數(shù)據(jù)，每一個字段包括事件的發(fā)生時(shí)間、級別和任務(wù)執(zhí)行的狀態(tài)等運(yùn)行時(shí)的信息.原始日志消息通常是非結(jié)構(gòu)化的，要實(shí)現(xiàn)日志分析，第一步也是最重要的一步是日志解析[1]，這是一個將自由文本原始日志消息解析為結(jié)構(gòu)化事件和事件分類的過程.隨著現(xiàn)代系統(tǒng)的規(guī)模和復(fù)雜性的不斷增加，日志的數(shù)量也在快速增長，每小時(shí)以GB級

挖掘的起點(diǎn)是事件日志。所有過程挖掘技術(shù)都假設(shè)可以順序記錄事件，使得每個事件都指向一個活動（即流程中定義良好的步驟），并且與特定情況（即流程實(shí)例）相關(guān)。事件日志可以存儲額外的信息，例如執(zhí)行或發(fā)起活動的資源（即人或設(shè)備）、事件的時(shí)間戳或與事件一起記錄的數(shù)據(jù)元素（例如命令的大?。?。事件日志可用于發(fā)現(xiàn)、監(jiān)視和改進(jìn)基于事實(shí)而不是虛構(gòu)的流程。過程挖掘主要有三種類型：獲取事件日志并生成模型而不使用任何其他先驗(yàn)信息；將現(xiàn)有流程模型與同一流程的事件日志進(jìn)行比較；采用事件日志

和系統(tǒng)狀態(tài)都會以日志的形式記錄下來。顯然這些日志數(shù)據(jù)是異構(gòu)的，且數(shù)量巨大，并且，其中蘊(yùn)含著很多有價(jià)值的信息。比如，通過挖掘Web 日志，可以統(tǒng)計(jì)分析出服務(wù)器在不同時(shí)段的用戶訪問量，訪問者IP 地址的分布情況，訪問網(wǎng)頁的時(shí)間等，然后給用戶定向推送相關(guān)產(chǎn)品信息和廣告。再比如，可通過日志分析某網(wǎng)站訪問量是否異常，進(jìn)而判斷是否有黑客攻擊或者非法鏈接請求等，所以，日志挖掘是非常有意義的工作。然而，一個可接受的日志標(biāo)準(zhǔn)還沒有被開發(fā)，因此，如何快速解析來自不同系統(tǒng)的日志

的活動都會存儲至日志文件中.隨著現(xiàn)代信息技術(shù)的進(jìn)一步發(fā)展，互聯(lián)網(wǎng)中的信息已經(jīng)呈現(xiàn)爆炸式增長，Web日志的分布也愈加廣泛[2].對于互聯(lián)網(wǎng)來說，特別是一些大型社交媒體網(wǎng)站與大型電子商務(wù)網(wǎng)站，分析分布式Web日志不僅可以明確網(wǎng)站運(yùn)營情況，還可以挖掘用戶的行為習(xí)慣，為營銷計(jì)劃的制定奠定基礎(chǔ)，進(jìn)而給用戶推薦符合用戶行為習(xí)慣的產(chǎn)品以及個性化服務(wù)等.為達(dá)到以上目標(biāo)，需要進(jìn)行分布式Web日志挖掘，因此相關(guān)的分布式Web日志挖掘和檢索方法研究受到人們極大的關(guān)注[3].當(dāng)前

用系統(tǒng)產(chǎn)生的運(yùn)行日志來定位異常，但由于分布式系統(tǒng)產(chǎn)生的日志量較大，并且不同的系統(tǒng)會采用不同的容錯機(jī)制[2]，人工檢索的方法耗時(shí)耗力。近些年隨著非結(jié)構(gòu)化日志解析方法[3-5]和機(jī)器學(xué)習(xí)的發(fā)展，基于機(jī)器學(xué)習(xí)的日志異常檢測方法成為了一個研究重點(diǎn)?；跈C(jī)器學(xué)習(xí)的日志異常檢測方法包括基于監(jiān)督學(xué)習(xí)和基于無監(jiān)督學(xué)習(xí)兩種?；诒O(jiān)督學(xué)習(xí)的方法[6-8]的優(yōu)點(diǎn)是檢測精確，但是需要使用提前進(jìn)行標(biāo)記的訓(xùn)練集進(jìn)行模型的訓(xùn)練，不適合實(shí)際生產(chǎn)環(huán)境。在無監(jiān)督學(xué)習(xí)的方法中，基于主成分分析(

但在分布式架構(gòu)中日志的管理就成了一個必須要解決的問題，分散式的日志結(jié)構(gòu)難以迅速定位查詢目標(biāo)，因此要用到分布式日志服務(wù)來對我們的日志進(jìn)行統(tǒng)一管理。在項(xiàng)目中通常會遇到并發(fā)量突增時(shí)導(dǎo)致系統(tǒng)不可用而采用分布式架構(gòu)的情況，日志此時(shí)也要進(jìn)行統(tǒng)一管理，方便查詢定位。在進(jìn)行統(tǒng)一管理時(shí)，如果集群服務(wù)器有許多臺，那么這么多臺服務(wù)器同時(shí)向統(tǒng)一日志系統(tǒng)發(fā)送數(shù)據(jù)，將導(dǎo)致系統(tǒng)的IO效率特別底下，存在數(shù)據(jù)丟失的情況。為解決該問題，加入一個二級日志儲存策略，將部分服務(wù)器日志先通過緩存?zhèn)魅?/div>

網(wǎng)絡(luò)安全和信息化 2019年6期2019-06-28

宇萌Apache日志分析器設(shè)計(jì)◆柴宇萌(天津市濱海新區(qū)中醫(yī)醫(yī)院 天津 300451)Apache服務(wù)器存儲著來自不同Web站點(diǎn)的日志記錄，服務(wù)器托管商需要將不同客戶的日志記錄從原始日志記錄中挑選出來放在一起供客戶查看，以供客戶驗(yàn)證商戶對客戶Web站點(diǎn)流量的統(tǒng)計(jì)是否正確。Apache日志分析器不僅可以節(jié)省開支，也可以提高服務(wù)器的利用率，增加服務(wù)器托管商的業(yè)務(wù)收入。本文介紹了Apache日志分析器的設(shè)計(jì)，以供參考。apache服務(wù)器；Web站點(diǎn)；流量0 引言現(xiàn)

字】Linux；日志0 引言日志服務(wù)器將系統(tǒng)上發(fā)生的重要事件記錄下來，以協(xié)助系統(tǒng)管理員進(jìn)行安全分析、 故障排查及合規(guī)審計(jì)等。 但如果遭受到非法入侵， 入侵者會刪除日志以防止入侵行為被追蹤， 而將日志記錄在遠(yuǎn)程服務(wù)器就可以避免這種情況。 常見的Linux 發(fā)行版都是采用的rsyslog 來實(shí)現(xiàn)日志服務(wù)的， 并可以較方便的將一臺Linux 主機(jī)配置為遠(yuǎn)程日志服務(wù)器。本文將闡述相關(guān)的技術(shù)原理和實(shí)現(xiàn)方法。本文所述的命令、 配置文件等都基于RHEL6.3（Redha

留下痕跡，這就是日志，每個日志文件由日志記錄組成，每條日志記錄描述了一次單獨(dú)發(fā)生的事件[1]。在一個完整的信息系統(tǒng)里面，日志系統(tǒng)是一個非常重要的功能組成部分。它可以記錄下系統(tǒng)所產(chǎn)生的所有行為，并按照某種規(guī)范表達(dá)出來。日志為服務(wù)器、工作站、防火墻和應(yīng)用軟件等IT資源相關(guān)活動記錄必要的、有價(jià)值的信息，這些信息的記錄對系統(tǒng)監(jiān)控、查詢、安全審計(jì)和診斷故障都是十分重要的[2]?，F(xiàn)有的大規(guī)模軟件大都是多人開發(fā)，或者采用多種來源的軟件，集成了大量開源社區(qū)的代碼，軟件內(nèi)部

系型數(shù)據(jù)庫，事務(wù)日志在數(shù)據(jù)庫運(yùn)行中扮演著非常重要的角色，沒有事務(wù)日志的參與，DB2數(shù)據(jù)庫就無法保證數(shù)據(jù)的一致性和可恢復(fù)性。數(shù)據(jù)庫中運(yùn)行的事務(wù)會耗用日志存儲空間，如果有長久未提交事務(wù)或數(shù)據(jù)修改量巨大的大事務(wù)，容易出現(xiàn)事務(wù)日志空間被耗盡的現(xiàn)象，本文提出了針對性的防范措施。2 什么是事務(wù)日志所謂數(shù)據(jù)庫的一致性，就是當(dāng)數(shù)據(jù)庫崩潰恢復(fù)或前滾到某一個時(shí)間點(diǎn)時(shí)，數(shù)據(jù)庫能夠保證已經(jīng)提交事務(wù)的數(shù)據(jù)都被寫入磁盤，而所有未提交和回滾事務(wù)都被撤銷。為了保障數(shù)據(jù)的一致性，數(shù)據(jù)庫需要

002)?自適應(yīng)日志采集間隔時(shí)間動態(tài)調(diào)整算法研究劉 必 雄(福建農(nóng)林大學(xué)計(jì)算機(jī)與信息學(xué)院， 福州 350002)針對日志審計(jì)系統(tǒng)，分析日志記錄數(shù)量變化規(guī)律及等間隔時(shí)間日志采集策略問題，提出一種自適應(yīng)日志采集間隔時(shí)間動態(tài)調(diào)整算法。該算法的功能是根據(jù)當(dāng)前采集的日志記錄數(shù)量，計(jì)算出單位時(shí)間內(nèi)產(chǎn)生的日志記錄數(shù)量變化，據(jù)此自動調(diào)節(jié)采集間隔時(shí)間。日志采集; 等間隔時(shí)間日志;采集策略; 間隔時(shí)間動態(tài)調(diào)整算法在日志審計(jì)系統(tǒng)的日志采集過程中，目前多采用等間隔時(shí)間日志采集策略

引言：Web網(wǎng)站日志文件中包含了網(wǎng)站運(yùn)行的大量信息，通過對日志進(jìn)行分析和統(tǒng)計(jì)，能夠有效掌握網(wǎng)站系統(tǒng)運(yùn)行情況，能夠加強(qiáng)對整個網(wǎng)站及其內(nèi)容的維護(hù)和管理，使網(wǎng)站運(yùn)維工作有的放矢。本文通過對基于AWStats的Web日志分析服務(wù)器的搭建，介紹日志分析服務(wù)器部署的基本架構(gòu)和工作原理。隨著Web網(wǎng)站的發(fā)展和規(guī)模不斷擴(kuò)大，對于網(wǎng)站日志進(jìn)行分析越來越重要。在Web服務(wù)器日志中，記錄了Web Server接收請求以及運(yùn)行狀態(tài)的各種原始信息。對這些信息進(jìn)行統(tǒng)計(jì)和分析，能夠有效

50MMS客戶端日志服務(wù)的實(shí)現(xiàn)謝民1， 樊瑞2， 李嘉2， 孫月琴1， 王海港1， 邵慶祝1(1.國網(wǎng)安徽省電力公司，安徽合肥230022； 2.國網(wǎng)電力科學(xué)研究院/南京南瑞集團(tuán)公司，江蘇南京211000)日志服務(wù)是IEC 61850標(biāo)準(zhǔn)提出的一項(xiàng)重要通信服務(wù)，其在客戶端的實(shí)現(xiàn)對工程調(diào)試和變電站自動化均具有重要意義。在實(shí)現(xiàn)IEC 61850MMS客戶端調(diào)試工具的基礎(chǔ)上，采用客戶端/服務(wù)器模式實(shí)現(xiàn)了日志服務(wù)。通過服務(wù)，客戶端實(shí)現(xiàn)了高效率的對日志按照時(shí)間及條目

的運(yùn)行狀態(tài)記錄為日志數(shù)據(jù)，如Web服務(wù)日志、防火墻日志、入侵檢測系統(tǒng)日志等。日志數(shù)據(jù)是服務(wù)改進(jìn)、系統(tǒng)審計(jì)、安全分析、數(shù)據(jù)挖掘等應(yīng)用的重要數(shù)據(jù)源[1～4]，因此需要長期存儲信息系統(tǒng)的日志數(shù)據(jù)。隨著大數(shù)據(jù)、移動互聯(lián)網(wǎng)時(shí)代的到來，信息系統(tǒng)變得日益復(fù)雜，面向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)訪問量急劇增長，隨之而來的系統(tǒng)日志數(shù)據(jù)也呈現(xiàn)出爆炸式增長。尤其對于一些核心系統(tǒng)模塊，需要記錄其所發(fā)生的一切操作并將其傳輸回?cái)?shù)據(jù)中心進(jìn)行存儲與分析，海量的日志數(shù)據(jù)對于日志系統(tǒng)的設(shè)計(jì)是一個巨

ows7系統(tǒng)事件日志分析與編程周 鵬（92124部隊(duì)計(jì)算機(jī)應(yīng)用技術(shù)，大連116023）事件日志作為一種重要的系統(tǒng)管理工具，主要用于監(jiān)視系統(tǒng)運(yùn)行情況、查找系統(tǒng)故障根源和分析軟件的執(zhí)行流程等。對軟件開發(fā)者而言，有必要從編程角度分析Windows7系統(tǒng)的事件日志架構(gòu)體系。簡要介紹NET Framework一個重要的事件日志類EventLog，以及使用EventLog類和C＋＋／CLI語言實(shí)現(xiàn)事件日志創(chuàng)建、寫入和刪除的編程方法。事件日志；事件源；EventLog類

Web日志是判斷服務(wù)器安全的一個重要依據(jù)，通過其可以分析判斷服務(wù)器是否被入侵，并通過其可以對攻擊者進(jìn)行反向跟蹤等。因此，對于Web日志攻擊者往往以除之而后快。一、攻擊者清除日志的常用伎倆1、Web服務(wù)器系統(tǒng)中的日志以Windows Server 2003平臺的Web服務(wù)器為例，其日志包括：安全日志、系統(tǒng)日志、應(yīng)用程序日志、WWW 日志、FTP日志等。對于前面的三類日志可以通過“開始→運(yùn)行”輸入eventvw r.msc打開事件查看器進(jìn)行查看，WWW 日志和

ＣＢＳｉ日志記錄對于任何一個服務(wù)器來說，都是至關(guān)重要的。對于IIS服務(wù)器也不例外。在Windows7操作系統(tǒng)中，相比2003，對于IIS日志記錄來說有了很大的改進(jìn)。不僅僅是日志的格式，還有其他的一些可選項(xiàng)上，操作系統(tǒng)管理員有了更多的選擇。在Windows7操作系統(tǒng)中，IIS日志記錄應(yīng)該視為IIS所必需的而不是可選的組件。這主要是因?yàn)?span id="syggg00" class="hl">日志文件對于管理IIS服務(wù)器來說具有很關(guān)鍵的作用。如在這個IIS服務(wù)器受到安全威脅的情況下，可以利用日志文件對其中包含的內(nèi)在細(xì)

ndow操作系統(tǒng)日志記錄系統(tǒng)運(yùn)行的狀態(tài)，通過分析操作系統(tǒng)日志，可以實(shí)現(xiàn)對操作系統(tǒng)的實(shí)時(shí)監(jiān)控，達(dá)到入侵防范的目的。目前保護(hù)操作系統(tǒng)日志的手段都存在一定的安全缺陷。為彌補(bǔ)這些安全缺陷，首先闡述系統(tǒng)日志安全通常包含哪幾方面，然后分析現(xiàn)有系統(tǒng)日志安全的不足，主要講述黑客如何通過提高權(quán)限來清除日志，最后提出系統(tǒng)安全的保護(hù)措施及防范手段及設(shè)想。[關(guān)鍵詞]Windows操作系統(tǒng)日志日志安全日志分析系統(tǒng)安全保護(hù)措施中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671—759

Rizhi (陳日志), JIANG Hong (姜紅), JIN Wanqin (金萬勤) and XU Nanping (徐南平)?Model Study on a Submerged Catalysis/Membrane Filtration System for Phenol Hydroxylation Catalyzed by TS-1*CHEN Rizhi (陳日志), JIANG Hong (姜紅), JIN Wanqin (金萬勤)**an