windows NT事件日志说明

最新推荐文章于 2022-12-26 10:08:19 发布
最新推荐文章于 2022-12-26 10:08:19 发布
阅读量3.4k 收藏 1
点赞数
文章标签: windows microsoft authentication 工具 domain user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yagami/article/details/3974
版权
windows NT事件日志说明
原作者:NtWak0
翻译整理:补天-苏樱

概要

以下内容是关于WINDOWS NT事件日志的非常好的、深入的文章。 日志通常用审计机或某种工具来管理。
这篇文章也包含:当一个用户被Locked out时,在事件日志里报告的SID有点小问题。


详细资料

日志类型:
这里有三种类型的NT事件日志:

系统日志
跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。

应用程序日志
跟踪应用程序关联的事件,比如应用程序产生的象装载DLL(动态链接库)失败的信息将出现在日志中。

安全日志
跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。


日志位置以及启动方法
NT日志的位置是:
%SYSTEMROOT%/system32/config/SysEvent.Evt
%SYSTEMROOT%/system32/config/SecEvent.Evt
%SYSTEMROOT%/system32/config/AppEvent.Evt

通常,NT不是将所有的事件都记录日志,你不得不手动启动审计,照下面的步骤做:

1-从开始菜单中选择程序,然后再选择管理工具。 从管理工具子菜单选择用户管理器,显示出用户管理器窗口。
2-从用户管理器的菜单中单击POLICIES(策略),然后单击AUDIT(审计),审计策略窗口就出现了。
3-选择单选框“AUDIT THEST EVENTS”(审计这些事件)
4-选择你需要启动的按OK,然后关闭用户管理器。

特殊权限的审计:
系统中某些特殊权限是不能被默认的事件来审计的,甚至是特权的审计已经被启动。这是妥当的控制审计日志的增长。
特殊权限有以下这些:

1-绕过验证限制----(对每个人)是同意每个人的,所以从审计的观点来看对它进行审计是无意义的。

2-DEBUG程序(对管理员)。 它在工作系统不使用,并能从管理员组中移掉(或者说取消)。

3-创建一个象征意义的对象(没有人), 它对谁也不准许。

4-替换过程级别标记(没有人),它对谁也不准许。

5-生成安全审计 (没有人),它对谁也不准许。

6-备份文件和目录,(管理员备份操作员), 它用在正常的系统操作过程中。

7-恢复文件和目录,(管理员备份操作员), 它用在正常的系统操作过程中。

要启动对这些特殊权限的审计,在注册表里增加以下键:
Hive: HKEY_LOCAL_MACHINE/SYSTEM
Key: System/CurrentControlSet/Control/Lsa
Name: FullPrivilegeAuditing
Type: REG_BINARY
Value: 1

或者创建一个名为audit.reg的文本文件,将下面语句剪切和粘贴到文本中。
-----------------------------------------------------------[SNIP HERE]------
REGEDIT4
ADD A BLANK LINE HERE
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]
"FullPrivilegeAuditing"=hex:01
ADD A BLANK LINE HERE
-----------------------------------------------------------[SNIP HERE]------

要将.reg文件存入注册表中,你可以双击它,或者打开一个命令行模式并且输入命令 REGEDIT /S audit.reg


这将使你建立的文件合并入系统注册表。

审计基础的对象
这项安置的注册键向本地安全管理局表明那些基础对象应由默认的系统审计控制列表来创建。
管理员仍然需要用用户管理器来把“目标访问”类别的审计打开。

启动基础对象的审计,在注册表中增加下列键
Hive: HKEY_LOCAL_MACHINE/SYSTEM
Key: /CurrentControlSet/Control/Lsa
Name: AuditBaseObjects
Type: REG_DWORD
Value: 1


或者创建一个名为audit0bj.reg的文件,并把下列内容剪切并拷贝到该文件中
-----------------------------------------------------------[SNIP HERE]------
REGEDIT4
ADD A BLANK LINE HERE
[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa]
"AuditBaseObjects"=dword:00000001
ADD A BLANK LINE HERE
-----------------------------------------------------------[SNIP HERE]------

要将.reg文件存入注册表中,你可以双击它,或者打开一个命令行模式并且输入命令 REGEDIT /S auditObj.reg

这将使你建立的文件合并入系统注册表。


范例:
当你启动安全审计时你会看到什么呢?

在这个例子中,你将看到在登录上网失败后事件日志中记录的内容:

Logon Failure:
Reason: Unknown user name or bad password
User Name: WaKiNg
Domain: WaK0
Logon Type: 3
Logon Process: KSecDD
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: //BRAINCELL


清除NT日志:
要清除一个日志,切换到你要清除的日志,在日志菜单里单击“清除所有事件”, 一个信息会弹出询问你是否想将目前的事件存档,
如果你回答是,“SAVE AS”对话框就出现了, 输入你要存档的文件名和目录。 无论你回答是或否后,事件阅读器就清空了当前的日志。
然后只有新的事件会出现在日志中了。

注意:当你删除安全日志时,一个事件将会出现在安全日志里。

即使你清除日志,你仍然会在日志里看见以下的条目:
The audit log was cleared
Primary User Name: SYSTEM
Primary Domain: NT AUTHORITY
Primary Logon ID: (0x0,0x3E7)
Client User Name: WaKiNg
Client Domain: BRAINCELL
Client Logon ID: (0x0,0x2581)

这些条目表示你清除了安全事件日志。 现在如果你想完全清除日志,你可以按以下步骤操作:

1-打开控制面板中的服务
2-查找ENENTLOG服务,并且单击STARTUP按钮
3-在启动类型中选择Manual 或者Disabled
4-重启动NT
5-到%SYSTEMROOT%/system32/config/SecEvent.Evt 删除SecEvent.Evt

这样做了以后,系统就会停止事件日志服务,你就能够删除你想要删除的日志了。

管理NT日志的工具:
NT资源工具包中的 dumpel.exe

NTLast


NTLast是特别针对严重的系统安全和IIS管理的工具。 预定回顾你的NT事件日志对你的网络来说是不可取的,因为常规的系统审计
能导致一个服务破坏。 用NTLast识别和跟踪谁取得了系统的访问,并且存档详细资料变得容易多了。

这个工具能很快报告出IIS用户的状况,以及从控制台过滤出WEB SERVER的登录。

EventReader


EventReader(TM)是一个管理工具,它允许网络管理员分析和管理事件日志。 这个程序让你从一个网络的WINDOWS NT机器上
收集事件日志,并且将信息存储到一个或几个ODBC兼容(Microsoft SQL
Server or Microsoft Access)的数据库中。你可以指派哪个计算机来收集信息、分配一个进度表、收集数据、备份事件日志参数。
安装包里包括一个Microsoft Access样品数据库,它包括许多能有效分析事件日志的查询和报表。

Event Archiver Enterprise


Event Archiver Enterprise是市场中事件管理工具里最易于使用的产品之一, 以它的适应性超出其他同类产品。
我们将它认为是一种“设置一次,永久运行”的应用程序,并相当可观的节省了你们组织的时间和金钱。
以一个WINDOWS NT/2000管理员的平均时间成本来计算,配置Event Archiver Enterprise就大大减少了你们公司的总体成本。
安装了Event Archiver,管理员就可以开始分析事件日志条目,而不用繁琐而要有规律地保存和存储它们。


EventReporter version 4.0


4.0版本提供了一些重要的增强功能,增强的文档,增强的WebSite。例如:通过EMail客户端传递消息里增加了
基于严格代码(如:错误,警告)的自定义EventRepporter过滤图形界面。


Remote Viewers - Event Log Monitor


Remote Viewer for Windows PC 运行于Microsoft Windows 95, Windows 98, Windows NT上,
让你查询并显示由控制台接收到的事件日志信息。从可以立即显示的远程查看控制台里接收用户选择的实时警告。

提供远程管理进程、服务和装置驱动程序。
提供远程查询、编辑、创建用户自定义记事、信息参考和多样的远程命令形式窗口。

SID安全问题:
许多管理员知道NT的SID和允许你取得用户SID的工具"sid2user"。 这里有另外一个不很明显的方法来取得用户的SID。
假定下面列出的是真实的:

1-默认的NT日志可以远程查看
2-你已经激活了审计
3-你的系统策略是当一个帐号的(登录)错误达到一个指定的次数后阻止这个帐号(继续尝试登录).

下面是你如何使NT倒出SID的做法:
试着用现已存在的任何帐号登录远程服务器,服务器提示你登录失败后,事件阅读器中将会生成一条记录:

Logon Failure:
Reason: Unknown user name or bad password
User Name: WaKiNg
Domain: WaK0
Logon Type: 3
Logon Process: KSecDD
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: //BRAINCELL


如果你有一条策略是 当一个帐号的(登录)错误达到一个指定的次数后你的系统策略会阻止这个帐号(继续尝试登录),
你将会在你的日志文件里看到下面的条目:

User Account Locked Out:
Target Account Name: WaKiNg
Target Account ID: S-1-5-21-431509504-1754822488-1124750213-500
Caller Machine Name: //BRAINCELL
Caller User Name: SYSTEM
Caller Domain: NT AUTHORITY
Caller Logon ID: (0x0,0x3E7)

所以如果现在你用事件查看器连接远程计算机的事件日志,你将会看到日志中目标帐号的SID:
S-1-5-21-431509504-1754822488-1124750213-500

更多好文章请到中华补天网 http://www.patching.net
yagami
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows实用dos命令大全
12-10
一)MD——建立子目录   1.功能:创建新的子目录  2.类型:内部命令  3.格式:MD[盘符:][路径名]〈子目录名〉  4.使用说明:  (1)“盘符”:指定要建立子目录的磁盘驱动器字母,若省略,则为当前驱动器;  (2)“路径名”:要建立的子目录的上级目录名,若缺省则建在当前目录下。  例:(1)在C盘的根目录下创建名为FOX的子目录;(2)在FOX子目录下再创建USER子目录。  C:、>MD FOX (在当前驱动器C盘下创建子目录FOX)  C:、>MD FOX 、USER (在FOX 子目录下再创建USER子目录)  (二)CD——改变当前目录  1.功能:显示当前目录  2.类型:内部命令  3.格式:CD[盘符:][路径名][子目录名]  4.使用说明:  (1)如果省略路径和子目录名则显示当前目录;  (2)如采用“CD、”格式,则退回到根目录;  (3)如采用“CD.。”格式则退回到上一级目录。  例:(1)进入到USER子目录;(2)从USER子目录退回到子目录;(3)返回到根目录。  C:、>CD FOX 、USER(进入FOX子目录下的USER子目录)  C:、FOX、USER>CD.。 (退回上一级根目录)  C:、FOX>CD、 (返回到根目录)  C:、>  (三)RD——删除子目录命令  1.功能:从指定的磁盘删除了目录。  2.类型:内部命令  3.格式:RD[盘符:][路径名][子目录名]  4.使用说明:  (1)子目录在删除前必须是空的,也就是说需要先进入该子目录,使用DEL(删除文件的命令)将其子目录下的文件删空,然后再退回到上一级目录,用RD命令删除该了目录本身;  (2)不能删除根目录和当前目录。  例:要求把C盘FOX子目录下的USER子目录删除,操作如下:  第一步:先将USER子目录下的文件删空;  C、>DEL C:、FOX、USER、*。*  第二步,删除USER子目录。  C、>RD C:、FOX、USER  (四)DIR——显示磁盘目录命令  1.功能:显示磁盘目录的内容。  2.类型:内部命令  3.格式:DIR [盘符][路径][/P][/W]  4. 使用说明:/P的使用;当欲查看的目录太多,无法在一屏显示完屏幕会一直往上卷,不容易看清,加上/P参数后,屏幕上会分面一次显示23行的文件信息,然后暂停,并提示;Press any key to continue  /W的使用:加上/W只显示文件名,至于文件大小及建立的日期和时间则都省略。加上参数后,每行可以显示五个文件名。  PATH——路径设置命令  1.功能:设备可执行文件的搜索路径,只对文件有效。  2.类型:内部命令  3.格式:PATH[盘符1]目录[路径名1]{[;盘符2:],〈目录路径名2〉…}  4.使用说明:  (1)当运行一个可执行文件时,DOS会先在当前目录中搜索该文件,若找到则运行之;若找不到该文件,则根据PATH命令所设置的路径,顺序逐条地到目录中搜索该文件;  (2)PATH命令中的路径,若有两条以上,各路径之间以一个分号“;”隔开;  (3)PATH命令有三种使用方法:  PATH[盘符1:][路径1][盘符2:][路径2]…(设定可执行文件的搜索路径)  PATH:(取消所有路径)  PATH:(显示目前所设的路径)  (六)TREE——显示磁盘目录结构命令  1.功能:显示指定驱动器上所有目录路径和这些目录下的所有文件名。  2.类型:外部命令  3.格式:TREE[盘符:][/F][》PRN]  4.使用说明:  (1)使用/F参数时显示所有目录及目录下的所有文件,省略时,只显示目录,不显示目录下的文件;  (2)选用>PRN参数时,则把所列目录及目录中的文件名打印输出。  (七)DELTREE——删除整个目录命令  1.功能:将整个目录及其下属子目录和文件删除。  2.类型:外部命令  3.格式:DELTREE[盘符:]〈路径名〉  4.使用说明:该命令可以一步就将目录及其下的所有文件、子目录、更下层的子目录一并删除,而且不管文件的属性为隐藏、系统或只读,只要该文件位于删除的目录之下,DELTREE都一视同仁,照删不误。使用时务必小心!!!  五、磁盘操作类命令  (一)formAT——磁盘格式化命令  1.功能:对磁盘进行格式化,划分磁道和扇区;同时检查出整个磁盘上有无带缺陷的磁道,对坏道加注标记;建立目录区和文件分配表,使磁盘作好接收DOS的准备。  2.类型:外部命令  3.格式:formAT〈盘符:〉[/S][/4][/Q]  4.使用说明:  (1)命令后的盘符不可缺省,若对硬盘进行格式化,则会如下列提示:WARNING:ALL DATA ON NON ——REMOVABLE DISK  DRIVE C:WILL BE LOST !  Proceed with format (Y/N)?  (警告:所有数据在C盘上,将会丢失,确实要继续格式化吗?)  (2)若是对软盘进行格式化,则会如下提示:Insert mew diskette for drive A;  and press ENTER when ready…  (在A驱中插入新盘,准备好后按回车键)。  (3)选用[/S]参数,将把DOS系统文件IO.SYS 、MSDOS.SYS及COMMAND.COM复制到磁盘上,使该磁盘可以做为DOS启动盘。若不选用/S参数,则格式化后的磙盘只能读写信息,而不能做为启动盘;  (4)选用[/4]参数,在1.2MB的高密度软驱中格式化360KB的低密度盘;  (5)选用[/Q]参数,快速格式化,这个参数并不会重新划分磁盘的磁道貌岸然和扇区,只能将磁盘根目录、文件分配表以及引导扇区清成空白,因此,格式化的速度较快。  (6)选用[/U]参数,表示无条件格式化,即破坏原来磁盘上所有数据。不加/U,则为安全格式化,这时先建立一个镜象文件保存原来的FAT表和根目录,必要时可用UNFORRMAT恢复原来的数据。  (二)UNformAT恢复格式化命令  1.功能:对进行过格式化误操作丢失数据的磁盘进行恢复。  2.类型:外部命令  3.格式:UNformAT〈盘符〉[/L][/U][/P][/TEST]  4.使用说明:用于将被“非破坏性”格式化的磁盘恢复。根目录下被删除的文件或子目录及磁盘的系统扇区(包括FAT、根目录、BOOT扇区及硬盘分区表)受损时,也可以用UNformAT来抢救。  (1)选用/L参数列出找到的子目录名称、文件名称、大孝日期等信息,但不会真的做formAT工作。  (2)选用/P参数将显示于屏幕的报告(包含/L参数所产生的信息)同时也送到打印机。运行时屏幕会显示:“Print out will be sent to LPT1”  (3)选用/TEST参数只做模拟试验(TEST)不做真正的写入动作。使用此参数屏幕会显示:“Simulation only”  (4)选用/U参数不使用MIRROR映像文件的数据,直接根据磁盘现状进行UNformAT。  (5)选用/PSRTN;修复硬盘分区表。  若在盘符之后加上/P、/L、/TEST之一,都相当于使用了/U参数,UNformAT会“假设”此时磁盘没有MIRROR映像文件。  注意:UNformAT对于刚formAT的磁盘,可以完全恢复,但formAT后若做了其它数据的写入,则UNformAT就不能完整的救回数据了。UNformAT并非是万能的,由于使用UNformAT会重建FAT与根目录,所以它也具有较高的危险性,操作不当可能会扩大损失,如果仅误删了几个文件或子目录,只需要利用UNDELETE就够了。 三) CHKDSK——检查磁盘当前状态命令  1.功能:显示磁盘状态、内存状态和指定路径下指定文件的不连续数目。  2.类型:外部命令  3.格式:CHKDSK [盘符:][路径][文件名][/F][/V]  4.使用说明:  (1)选用[文件名]参数,则显示该文件占用磁盘的情况;  (2)选[/F]参数,纠正在指定磁盘上发现的逻辑错误;  (3)选用[/V]参数,显示盘上的所有文件和路径。  (四)DISKCOPY——整盘复制命令  1.功能:复制格式和内容完全相同的软盘。  2.类型:外部命令  3.格式:DISKCOPY[盘符1:][盘符2:]  4.使用说明:  (1)如果目标软盘没有格式化,则复制时系统自动选进行格式化。  (2)如果目标软盘上原有文件,则复制后将全部丢失。  (3)如果是单驱动器复制,系统会提示适时更换源盘和目标盘,请操作时注意分清源盘和目标盘。  (五)LABEL——建立磁盘卷标命令  1.功能:建立、更改、删除磁盘卷标。  2.类型:外部命令  3.格式:LABEL[盘符:][卷标名]  4.使用说明:  (1)卷标名为要建立的卷标名,若缺省此参数,则系统提示键入卷标名或询问是否删除原有的卷标名;  (2)卷标名由1至11个字符组成。  (六)VOL——显示磁盘卷标命令  1.功能:查看磁盘卷标号。  2.类型:内部命令  3.格式:VOL[盘符:]  4.使用说明:省略盘符,显示当前驱动器卷标。  (七)SCANDISK——检测、修复磁盘命令  1.功能:检测磁盘的FAT表、目录结构、文件系统等是否有问题,并可将检测出的问题加以修复。  2.类型:外部命令  3.格式:SCANDISK[盘符1:]{[盘符2:]…}[/ALL]  4.使用说明:  (1)CCANDISK适用于硬盘和软盘,可以一次指定多个磁盘或选用[/ALL]参数指定所有的磁盘;  (2)可自动检测出磁盘中所发生的交叉连接、丢失簇和目录结构等逻辑上的错误,并加以修复。  (八)DEFRAG——重整磁盘命令  1.。功能:整理磁盘,消除磁盘碎块。  2.类型:外部命令  3.格式:DEFRAG[盘符:][/F]  4.使用说明:选用/F参数,将文件中存在盘上的碎片消除,并调整磁盘文件的安排,确保文件之间毫无空隙。从而加快读盘速度和节省磁盘空间。  (九)SYS——系统复制命令  1.功能:将当前驱动器上的DOS系统文件IO.SYS,MSDOS.SYS和COMMAND.COM 传送到指定的驱动器上。  2.类型:外部命令  3.格式:SYS[盘符:]  *使用说明:如果磁盘剩余空间不足以存放系统文件,则提示:No roomfor on destination disk.  文件操作类命令  (一) COPY文件复制命令  1.功能:拷贝一个或多个文件到指定盘上。  2.类型:内部命令  3.格式:COPY [源盘][路径]〈源文件名〉[目标盘][路径][目标文件名]  4.使用说明:  (1)COPY是文件对文件的方式复制数据,复制前目标盘必须已经格式化;  (2)复制过程中,目标盘上相同文件名称的旧文件会被源文件取代;  (3)复制文件时,必须先确定目标般有足够的空间,否则会出现;insufficient的错误信息,提示磁盘空间不够;  (4)文件名中允许使用通配举“*”“?”,可同时复制多个文件;  (5)COPY命令中源文件名必须指出,不可以省略。  (6)复制时,目标文件名可以与源文件名相同,称作“同名拷贝”此时目标文件名可以省略;  (7)复制时,目标文件名也可以与源文件名不相同,称作“异名拷贝”,此时,目标文件名不能省略;  (8)复制时,还可以将几个文件合并为一个文件,称为“合并拷贝”,格式如下:COPY;[源盘][路径]〈源文件名1〉〈源文件名2〉…[目标盘][路径]〈目标文件名〉;  (9)利用COPY命令,还可以从键盘上输入数据建立文件,格式如下:COPY CON [盘符:][路径]〈文件名〉;  (10)注意:COPY命令的使用格式,源文件名与目标文件名之间必须有空格!  (二)XCOPY——目录复制命令  1.功能:复制指定的目录和目录下的所有文件连同目录结构。  2.类型:外部命令  3.格式:XCOPY [源盘:]〈源路径名〉[目标盘符:][目标路径名][/S][/V][/E]  4.使用说明:  (1)XCOPY是COPY的扩展,可以把指定的目录连文件和目录结构一并拷贝,但不能拷贝隐藏文件和系统文件;  (2)使用时源盘符、源目标路径名、源文件名至少指定一个;  (3)选用/S时对源目录下及其子目录下的所有文件进行COPY。除非指定/E参数,否则/S不会拷贝空目录,若不指定/S参数,则XCOPY只拷贝源目录本身的文件,而不涉及其下的子目录;  (4)选用/V参数时,对的拷贝的扇区都进行较验,但速度会降低。  (三)TYPE——显示文件内容命令  1.功能:显示ASCII码文件的内容。  2.类型:内部命令。  3.格式:TYPE[盘符:][路径]〈文件名〉  4.使用说明:  (1)显示由ASCII码组成的文本文件,对。EXE.COM等为扩展名的文件,其显示的内容是无法阅读的,没有实际意义2;  (2)该命令一次只可以显示一个文件的内容,不能使用通配符;  (3)如果文件有扩展名,则必须将扩展名写上;  (4)当文件较长,一屏显示不下时,可以按以下格式显示;TYPE[盘符:][路径]〈文件名〉|MORE,MORE为分屏显示命令,使用些参数后当满屏时会暂停,按任意键会继续显示。  (5)若需将文件内容打印出来,可用如下格式:  TYPE[盘符:][路径]〈文件名〉,>PRN  此时,打印机应处于联机状态。  (四) REN——文件改名命令  1.功能:更改文件名称  2.类型:内部命令  3.格式:REN[盘符:][路径]〈旧文件名〉〈新文件名〉  4.使用说明:  (1)新文件名前不可以加上盘符和路径,因为该命令只能对同一盘上的文件更换文件名;  (2)允许使用通配符更改一组文件名或扩展名。  (五)FC——文件比较命令  1.功能:比较文件的异同,并列出差异处。  2.类型:外部命令  3.格式:FC[盘符:][路径名]〈文件名〉[盘符:][路径名][文件名][/A][/B][/C][/N]  4.使用说明:  (1)选用/A参数,为ASCII码比较模式;  (2)选用/B参数,为二进制比较模式;  (3)选用/C参数,将大小写字符看成是相同的字符。  (4)选用/N参数,在ASCII码比较方式下,显示相异处的行号。  (六)ATTRIB——修改文件属性命令  1.功能:修改指定文件的属性。(文件属性参见2.5.4(二)文件属性一节)  2.类型:外部命令。  3.格式:ATTRIB[文件名][R][——R][A][——A][H][——H][——S]  4.使用说明:  (1)选用R参数,将指定文件设为只读属性,使得该文件只能读取,无法写入数据或删除;选用——R参数,去除只读属性;  (2)选用A参数,将文件设置为档案属性;选用——A参数,去除档案属性;  (3)选用H参数,将文件调协为隐含属性;选用——H参数,去隐含属性;  (4)选用S参数,将文件设置为系统属性;选用——S参数,去除系统属性;  (5)选用/S参数,对当前目录下的所有子目录及作设置。  七) DEL——删除文件命令  1.功能:删除指定的文件。  2.类型:内部命令  3.格式:DEL[盘符:][路径]〈文件名〉[/P]  4.使用说明:  (1)选用/P参数,系统在删除前询问是否真要删除该文件,若不使用这个参数,则自动删除;  (2)该命令不能删除属性为隐含或只读的文件; (3)在文件名称中可以使用通配符; (4)若要删除磁盘上的所有文件(DEL*&middot;*或DEL&middot;),则会提示:(Arey ou sure?)(你确定吗?)若回答Y,则进行删除,回答N,则取消此次删除作业。 (八) UNDELETE——恢复删除命令 1.功能:恢复被误删除命令 2.类型:外部命令。 3.格式:UNDELETE[盘符:][路径名]〈文件名〉[/DOS]/LIST][/ALL] 4.使用说明:使用UNDELETE可以使用“*”和“?”通配符。 (1)选用/DOS参数根据目录里残留的记录来恢复文件。由于文件被删除时,目录所记载斩文件名第一个字符会被改为E5,DOS即依据文件开头的E5和其后续的字符来找到欲恢复的文件,所以,UNDELETE会要求用户输入一个字符,以便将文件名字补齐。但此字符不必和原来的一样,只需符合DOS的文件名规则即可。 (2)选用/LIST只“列出”符合指定条件的文件而不做恢复,所以对磁盘内容完全不会有影响。 (3)选用/ALL自动将可完全恢复的文件完全恢复,而不一一地询问用户,使用此参数时,若UNDELTE利用目录里残留的记录来将文件恢复,则会自动选一个字符将文件名补齐,并且使其不与现存文件名相同,选用字符的优选顺序为:#%——0000123456789A~Z。 UNDELETE还具有建立文件的防护措施的功能,已超出本课程授课范围,请读者在使用些功能时查阅有关DOS手册。 七、其它命令 (一)CLS——清屏幕命令 1功能:清除屏幕上的所有显示,光标置于屏幕左上角。 2类型:内部命令 3格式:CLS (二) VER查看系统版本号命令 1功能:显示当前系统版本号 2类型:内部命令 3格式:VER (三) DATA日期设置命令 1功能:设置或显示系统日期。 2类型:内部命令 3格式:DATE[mm——dd——yy] 4使用说明: (1)省略[mm——dd——yy]显示系统日期并提示输入新的日期,不修改则可直接按回车键,[mm——dd——yy]为“月月——日日——年年”格式; (2)当机器开始启动时,有自动处理文件(AUTOEXEC.BAT)被执行,则系统不提示输入系统日期。否则,提示输入新日期和时间。 (四) TIME系统时钟设置命令 1功能:设置或显示系统时期。 2类型:内部命令 3格式:TIME[hh:mm:ss:xx] 4使用说明: (1)省略[hh:mm:ss:xx],显示系统时间并提示输入新的时间,不修改则可直接按回车键,[hh:mm:ss:xx]为“小时:分钟:秒:百分之几秒”格式; (2)当机器开始启动时,有自动处理文件(AUTOEXEC.BAT)被执行,则系统不提示输入系统日期。否则,提示输入新日期和时间。 (五)MEM查看当前内存状况命令 1功能:显示当前内存使用的情况 2类型:外部命令 3格式:MEM[/C][/F][/M][/P] 4使用说明: (1)选用/C参数列出装入常规内存和CMB的各文件的长度,同时也显示内存空间的使用状况和最大的可用空间; (2)选用/F参数分别列出当前常规内存剩余的字节大小和UMB可用的区域及大小; (3)选用/M参数显示该模块使用内存地地址、大小及模块性质; (4)选用/P参数指定当输出超过一屏时,暂停供用户查看。 (六) MSD显示系统信息命令 1功能:显示系统的硬件和操作系统的状况。 2类型:外部命令 3格式:MSD[/I][/B][/S] 4使用说明: (1)选用/I参数时,不检测硬件; (2)选用/B参数时,以黑白方式启动MSD; (3)选用/S参数时,显示出简明的系统报告。 ping命令详解 对于Windows下ping命令相信大家已经再熟悉不过了,但是能把ping的功能发挥到最大的人却并不是很多,当然我也并不是说我可以让ping发挥最大的功能,我也只不过经常用ping这个工具,也总结了一些小经验,现在和大家分享一下。 现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧,ping只有在安装了TCP/IP协议以后才可以使用: ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-wz timeout] destination-list Options: -t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C. 不停的ping地方主机,直到你按下Control-C。 此功能没有什么特别的技巧,不过可以配合其他参数使用,将在下面提到。 -a Resolve addresses to hostnames. 解析计算机NetBios名。 示例:C:\>ping -a 192.168.1.21 Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 timeping -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Request timed out. ……………… Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms, Maximum = 51ms, Average = 46ms 从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中,返回了48个,其中有两个由于未知原因丢失,这48个数据包当中返回速度最快为40ms,最慢为51ms,平均速度为46ms。 -l size Send buffer size. 定义echo数据包大小。 在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt,也许有人会问为什么要限制到65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其他系统)就是当向对方一次发送的数据包大于或等于65532时,对方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制,但这个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令:(以下介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自负) C:\>ping -l 65500 -t 192.168.1.21 Pinging 192.168.1.21 with 65500 bytes of data: Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 Reply from 192.168.1.21: bytes=65500 timeping -n 1 -r 9 202.96.105.101 (发送一个数据包,最多记录9个路由) Pinging 202.96.105.101 with 32 bytes of data: Reply from 202.96.105.101: bytes=32 time=10ms TTL=249 Route: 202.107.208.187 -> 202.107.210.214 -> 61.153.112.70 -> 61.153.112.89 -> 202.96.105.149 -> 202.96.105.97 -> 202.96.105.101 -> 202.96.105.150 -> 61.153.112.90 Ping statistics for 202.96.105.101: Packets: Sent = 1, Received = 1, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 10ms, Average = 10ms 从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.208.187 ,202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。 -s count Timestamp for count hops. 指定 count 指定的跃点数的时间戳。 此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个。 -j host-list Loose source route along host-list. 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。 -k host-list Strict source route along host-list. 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9。 -w timeout Timeout in milliseconds to wait for each reply. 指定超时间隔,单位为毫秒。 此参数没有什么其他技巧。 ping命令的其他技巧:在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DefaultTTL"=dword:000000ff 255---FF   128---80   64----40   32----20 好了,ping命令也基本上完全讲解完了,其中还有-j,-k参数我还没有详细说明,由于某些原因也包括我自己所收集的资料过少这里也没有向大家详细介绍,请大家见谅,如果在看了这篇文章的朋友当中有知道得比我更多的,以及其他使用技巧的也希望您能告诉我,并在此先谢过。 对于Windows下ping命令相信大家已经再熟悉不过了,但是能把ping的功能发挥到最大的人却并不是很多,当然我也并不是说我可以让ping发挥最大的功能,我也只不过经常用ping这个工具,也总结了一些小经验,现在和大家分享一下。 现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧,ping只有在安装了TCP/IP协议以后才可以使用: ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list Options: -t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C. 不停的ping地方主机,直到你按下Control-C。 此功能没有什么特别的技巧,不过可以配合其他参数使用,将在下面提到。 -a Resolve addresses to hostnames. 解析计算机NetBios名。 示例:C:\>ping -a 192.168.1.21 Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 time<10ms TTL=254 Reply from 192.168.1.21: bytes=32 timeping -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Request timed out. ……………… Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms, Maximum = 51ms, Average = 46ms 从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中,返回了48个,其中有两个由于未知原因丢失,这48个数据包当中返回速度最快为40ms,最慢为51ms,平均速度为46ms。 -l size Send buffer size. 定义echo数据包大小。 在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt,也许有人会问为什么要限制到65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其他系统)就是当向对方一次发送的数据包大于或等于65532时,对方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制,但这个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令:(以下介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自负) C:\>ping -l 65500 -t 192.168.1.21 Pinging 192.168.1.21 with 65500 bytes of data: Reply from 192.168.1.21: bytes=65500 time<10ms TTL=254 Reply from 192.168.1.21: bytes=65500 timeping -n 1 -r 9 202.96.105.101 (发送一个数据包,最多记录9个路由) Pinging 202.96.105.101 with 32 bytes of data: Reply from 202.96.105.101: bytes=32 time=10ms TTL=249 Route: 202.107.208.187 -> 202.107.210.214 -> 61.153.112.70 -> 61.153.112.89 -> 202.96.105.149 -> 202.96.105.97 -> 202.96.105.101 -> 202.96.105.150 -> 61.153.112.90 Ping statistics for 202.96.105.101: Packets: Sent = 1, Received = 1, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 10ms, Average = 10ms 从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.208.187 ,202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。 -s count Timestamp for count hops. 指定 count 指定的跃点数的时间戳。 此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录4个。 -j host-list Loose source route along host-list. 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。 -k host-list Strict source route along host-list. 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9。 -w timeout Timeout in milliseconds to wait for each reply. 指定超时间隔,单位为毫秒。 此参数没有什么其他技巧。 ping命令的其他技巧:在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DefaultTTL"=dword:000000ff 255---FF   128---80   64----40   32----20 好了,ping命令也基本上完全讲解完了,其中还有-j,-k参数我还没有详细说明,由于某些原因也包括我自己所收集的资料过少这里也没有向大家详细介绍,请大家见谅,如果在看了这篇文章的朋友当中有知道得比我更多的,以及其他使用技巧的也希望您能告诉我,并在此先谢过。 FTP命令大全 FTP:文件传输协议。先说说他的功能吧,主要就是从运行FTP服务器的计算机传输文件。可以交互使用。这里要注意,只有安装了tcp/ip协议的机器才能使用ftp命令。 命令格式:ftp [-v][-d][-i][-n][-g][-s:filename][-a][-w:windowsize][computer] 说说他们的含义吧。 -v 不显示远程服务器响应 -n 禁止第一次连接的时候自动登陆 -i 在多个文件传输期间关闭交互提示 -d 允许调试、显示客户机和服务器之间传递的全部ftp命令 -g 不允许使用文件名通配符,文件名通配符的意思是说允许在本地文件以及路径名中使用通配字符 -s:filename 指定包含ftp命令的文本文件。在ftp命令启动后将自动运行这些命令。在加的参数里不能有空格。 -a 绑定数据连接时,使用任何的本地端口 -w:windowsize 忽略默认的4096传输缓冲区 computer 指定要连接的远程计算机的ip地址 呵呵,理解了上面的,就说说一些具体的命令,我个人觉得虽然现在工具用起来很方便了,但懂这些命令在很多地方还是很有用的,就像现在nt下的命令提示符 1) ? 说明:显示ftp命令的说明。后面可以加参数,是加需要解释的命令名,不加则显示包含所有命令列表。 2) append 说明:使用当前文件类型设置,将本地文件附加到远程计算机中。大概格式是 append local-file [remote-file] 其中local-file是说指定要添加的本地文件。 remote-file是说指定要将local-file附加到远程计算机文件,要是省了这个,则是使用本地文件名做远程文件名。 3)ascii 说明:默认情况下,将文件传输类型设置为ASCII 4)bell 说明:响玲开关,意思是文件传输完成后是否有玲声提醒。默认是关闭的。 5)binary 说明:将文件传输类型设置为二进制。 6)bye 说明:结束和远程计算机的ftp会话,也就是安全断开,退出ftp. 7)cd 说明:更改远程计算机上的工作目录。如cd data 其中data是要进入的远程计算机的目录。 8)close 说明:结束与远程服务器的ftp会话,并返回命令解释程序。 9)dir 说明:显示远程的文件以及子目录列表。如dir data local-file 其中data是指定要查看列表的目录,没指定的话就是当前目录。local-file是指定要保存列表的本地文件,不指定的话就在屏幕输出。 10)debug 说明:调试开关,打开的时候打印每个发送到远程计算机的命令,命令前有——> 默认情况是关闭的。 11)disconnnect 说明:与远程计算机断开连接,但还保持着ftp命令提示符。 12)get 说明:使用当前文件传输类型,把远程的文件拷贝到本地计算机上。 如get remote-file local-file remote-file是指定要复制的文件,local-file是指定本地计算机上的文件名, 没有指定的话则个remote-file同名。 13)glob 说明:文件名通配开关 14)hash 说明:转换每个传输数据快的散列标记打印(#).数据快的大小是2048字节。默认情况下是关闭的, 15)help 说明:显示ftp命令的解释,如help commmand 其中command就是你要解释的命令,如果不加command这个参数的话就会显示所有命令的列表 16)! 说明:这个命令差点忘记了:)功能是在本地计算机上运行指定命令。如! command 其中command就是你要运行的命令,如果不加command这个参数的话,则显示本地命令提示, 这时你输入exit命令就能返回到ftp了。 17)lcd 说明:更改本地计算机的本地目录,在默认的时候是启动ftp的目录.这个不要觉得没用啊,在你使用ftp的时候为了传递文件不是常改变本地和远程计算机的目录吗?:) 如lcd [directory] 其中[directory]是指定要进入的本地计算机的目录,如果你不加这个参数,就会显示出本地计算机的工作目录. 18)literal 说明:向远程ftp服务器发送协商参数,报告. 如lireral argument [...] 其中argument是指定要发送给远程服务器的协商参数。 19)ls 说明:显示远程目录的文件和字目录. 如ls remote-directory local-file 其中remote-directory是指要查看的列表的目录,不指定的话显示的是当前工作目录。local-file是指定要保存列表的本地文件.不指定的话是在屏幕上输出. 20)mdelete 说明:删除远程计算机上的文件.如mdelete remote-file ... remote-file肯定是要删的文件啊,可以删除多个. 21)mdir 说明:显示远程目录的文件和子目录列表,他允许指定多个文件. 如mdir remote-file ... local-file 参数我想大家应该明白什么意思吧?不明白就看看前面的类似命令吧. 22)mget 说明:使用当前文件传输类型将多个远程文件复制到本地计算机. 如mget remote-files ... 其实remote-files可以指定多个,他就是指定要复制到本地计算机的远程文件. 23)mkdir 说明:创建远程目录. 如mkdir directory 这个命令和nt下的命令提示符中的md directory一样,不多说了. 24)mls 说明:显示远程目录的文件和目录简表 如mls remote-file ... local-file 其中remote-file这个参数是必须要加的,’’-’’是使用远程计算机的当前工作目录. 25)mput 说明:使用当前文件传输类型,将本地文件复制到远程计算机. 如mput local-files ... 26)open 说明:连接到指定ftp服务器上, 如open computer port 其中computer一般是远程计算机的ip地址,port不用说就是指定端口了。 27)prompt 说明:转换提示,在多个文件传输的时候,ftp提示可以有选择的检索或保存文件,如果关闭提示,则mget和mput命令传输所有文件,在默认情况下是打开的. 28)put 说明:使用当前文件传输类型将本地文件复制到远程计算机中, 如put local-file remote-file 其中local-file是指定要复制的本地文件, remote-file是指定要复制的远程计算机上的文件名,不指定的话是和本地计算机上的文件名同名. 29)pwd 说明:显示远程呢感计算机上的当前目录. 30)quit 说明:结束与远程计算机的ftp会话,并退出ftp. 31)quote 说明:向远程ftp服务器发送协议,报告.期待ftp单码应答,这个命令的功能和literal相同. 32)recv 说明:使用当前文件传输类型将远程文件复制到本地计算机,他与get命令作用相同。 33)remotehelp 说明:显示远程命令的帮助.这个命令的用法和help,!一样可以参考他的用法. 34)rename 说明:更改远程计算机上的文件名。 这个命令和nt的命令提示符的ren一样,如rename filename newfilename 35)rmdir 说明:删除远程目录. 这个命令和nt的命令提示符的rm一样,如rmdir directory 36)send 说明:使用当前文件传输类型将本地文件复制到远程计算机.send和put命令的功能一样。 如send local-file remote-file 37)status 说明:显示ftp连接和转换的当前状态 38)trace 说明:转换报文跟踪,运行ftp的命令时,trace将显示没个报文的理由。 39)type 说明:设置或显示文件传输类型. 如type [type-name] 其中type-name 的意思是文件传输的类型,默认是ASCII,没加这个参数就是显示当前的传输类型. 40)user 说明:指定连接到远程计算机的用户. 如user user-name [passwd] [account] 其中user-name不用说都是用来登陆计算机的用户名了, passwd是指定user-name的密码,不指定的话ftp会提示输入密码。 account是指定用来登陆计算机的帐号,如不指定,ftp会提示输入帐号. 41)verbose 说明:转换冗余模式。这里如果打开,会显示所有ftp响应,文件传输结束的时候会显示传输的效率和统计信息,默认的情况是打开的. 呵呵,命令就介绍这些了,可以自己熟悉一下,其实现在ftp的软件很多,很方便,但你说这些命令没用也是不可能的,就像windows下一样还保留着命令提示符.:)_ 特别有些时候ftp软件很多地方做不到的,.? 什么地方。 打个比方,我看过一种觅名ftp用户得到admin的入侵列子,就的用到他.呵呵,这里不多说了,就写到这里了。 88291622
Web应用安全:IIS日志配置.docx
06-19
IIS日志配置 摘 要:通过本节介绍,让学生了解如何配置IIS日志。 关键词:IIS;日志 一、IIS基础信息 1、基础信息 互联网信息服务(英语:Internet Information Services,简称IIS),是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是WindowsNT版本的可选包,随后自带在Windows2000、Windows XP Professional和Windows Server 2003一起发布,但在普遍使用的Windows XP Home版本上并没有IIS。IIS是在Windows操作系统平台下开发的,这也限制了它只能在这种操作系统下运行。在Windows XP Professional中IIS的一些功能做出了限制,以与Windows Server 2003有所区隔。 图1 IIS版本说明 二、IIS日志 1、IIS服务器搭建 在windows server 2003中,如果想要添加IIS组件的流程为,则需要在“控制面板”里找到“添加或删除程序”,点击左侧第三个“添加/删除windows组件”,在跳出来的“windo
Oracle中用LogMiner分析重做及归档日志
03-04
LogMiner是集成在Oracle8i/Oracle9i数据库产品中的日志分析工具,通过该工具可以分析重做日志和归档日志中的所有事务变化,并能准确地确定各种DML和DDL操作的具体时间和SCN值。对重做日志和归档日志进行分析的目 的是为了恢复由于执行了误操作而丢失的数据。使用LogMiner可实现:确定数据逻辑损坏的时间、跟踪用户执行的事务变化操作、跟踪表的DML操作。本文以Oracle8i(8.1.5)for Windows 2000/NT为例说明如何使用LogMiner对重做日志和归档日志进行分析。
分析Oracle8i/9i的重做日志和归档日志
07-07
LogMiner是集成在Oracle8i/Oracle9i数据库产品中的日志分析工具,通过该工具可以分析重做日志和归档日志中的所有事务变化,并能准确地确定各种DML和DDL操作的具体时间和SCN值。文中以Oracle8i(8.1.5)for Windows 2000/NT为例说明如何使用LogMiner对重做日志和归档日志进行分析。
windowsnt 技术内幕
04-09
理解Microsoft专家认证程序 理解Microsoft认证的不同等级和类型 选择成为MCP(Microsft认证专家)的考试科目 选择成为MCSD的考试科目 选择成为MCT的考试科目 MCSE认证考试的科目 选择合适的MCSE课程组合 核心课程考试 选修课程考试 考试编号的识别 课程内容和考试内容的对照 理解微软的MCSE长远考虑 理解微软出题的方式 使用本书帮助备考 在Internet上寻找对考试有帮助的信息 寻求微软认可的课程指导 寻找高质量的和三方帮助 寻找可利用的评估软件拷贝 报名参加考试 考试的费用问题 考前的自我调整 使用考试中心提供的考试工具 参加模拟测试 熟悉使用计算机进行考试 充分利用考试时间 考题的形式 理解多重选择题型 理解对错题题型 理解多重选择多重答案题型 理解基于解决方案型的问题 理解“建议方法”类型的考题 分析考试结果 准备重新考试 合理安排考试课程的顺序 熟悉Windows系列产品 比较Windows NT Server和NT Workstation 比较Windows NT Workstaton和Windows 95 在Windowx 95和Windows NT Workstation之间作出选择 关于Microsoft Windows NT的70-069号考试:实现和支持Microsoft Windows NT Server 4.0 70-069号考试(实现和支持Microsoft Windows NT Server 4.0)覆盖的内容 Windows NT 4.0界面简介 Windows NT 4.0任务栏(taskbar)的使用 Windows NT回收站简介 Windows NT帐号简介 理解单域模型支持和帐号数量 安全认证号简介 使用管理向导(Administrative Wizards)创建帐号 使用Server Manager(服务器管理器)程序创建计算机帐号 Userver Manager for Domains(域的用户管理器)简介 使用User Mnager for Domains创建用户帐号 刷新用户帐号列表 用户帐号列表的排序 事件查看器(Event View)程序简介 筛选Event Viewer中的事件 授予用户在本地登录的权利 使用Windows NT诊断程序查看系统配置 激活“Windows NT Security(Windows NT安全)”对话框 理解登录验证过程 理解访问令牌(Access Token) Windows NT目录服务简介 理解Windows NT如何构造用户帐号数据库 使用Windows NT中的Ctrl+Alt+Del组合键 把Windows NT计算机设置成自动登录 改变Windows NT口令 用拨号网络登录 复制用户帐号 为简化多个帐号的创建工作而建立用户帐号模板 删除和重新命名用户帐号 理解保护缺省的Administrator帐号的重要性 重新命名管理员帐号 理解缺省的Guest帐户 Windows NT在哪里创建帐号 设置口令限制条件 设置用户登录地点 创建宿主文件夹 设置用户登录时间 创建临时用户帐号 重新设置用户帐号口令 修改多个用户帐号 自动注销有时间限制的用户 要求用户在下次登录时改变口令 设置帐号规则 设置用户口令永不过期 停用用户帐号 解开登录失败后的用户帐号 Windows NT组简介 理解用户权限和组的访问权限 理解用户和组的权利 分清权限(permission)和权利(right) 设置组成成员关系 理解全局帐号 理解本地帐号 定义Everyone组 Network组的详细说明 Inteactive组的详细说明 Administrators组的详细说明 Guest组的详细说明 Users组的详细说明 Print Operators组的详细说明 Backup Operators(帐户操作员)组的详细说明 Replicator(复制员)组的详细说明 Domain Guests(域客户)组的详细说明 Domain Users(域用户)组的详细说明 Domain Admins(域管理员)组的详细说明 赋予拨号进入权限 理解用户配置文件(User Profile) 为Windows用户创建并使用登录脚本文件(Logon Script) 创建漫游式用户配置文件(Roaming User Profile) 创建强制性用户配置文件(Mandatory User Profile) 为用户帐号分配一个配置文件 创建帐户时变量的使用 创建随机初始化口令 理解内建组(Built-in Group) 理解组和策略 设置主组(Primary Group) 理解删除一个组的影响 域控制器(Domain Controller)简介 成员服
IIS攻击与日志
天奇居
11-26 3926
 IIS攻击与日志不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其上的脆弱的应用程序总是能轻松的将它们化为乌有。INTERNET信息服务(IIS)是WINDOWS 2000服务器上应用最广泛的服务,作为微软的主流WEB服务器,IIS
服务器日志显示system特殊登陆,win2008服务器安全问题,日志里怎么这么多登录事件?...
weixin_42502165的博客
08-05 3265
安装了一台windows2008 R2 64位的服务器,之前没在意,最近在访问高峰期间会卡,而且日志里出现了很多登陆事件,每隔10分钟会登陆一次,这个图是登录记录,诡异的是貌似都是本机上的登陆,找不到来源IP,下面有每次登陆的详细信息,请大牛们给看看到底是怎么回事?跪谢!每次登陆的三个事件详细信息:事件一:试图使用显式凭据登录。主题:安全 ID: SYSTEM帐户名: ...
windows2008 安全日志出现大量帐号登录失败的解决办法
热门推荐
未央帝的专栏
08-07 4万+
最近几天,通过事件查看器发现了大量的帐号登录失败的日志,搞得焦头烂额的。 信息内容 `帐户登录失败。主题: 安全 ID: SYSTEM 帐户名: XXX-XXXXX$ 帐户域: WORKGROUP 登录 ID: 0x3e7登录类型: 3登录失败的帐户: 安全 ID: N
Windows登录类型及安全日志解析
weixin_33779515的博客
02-07 2240
Windows登录类型及安全日志解析 一、Windows登录类型       如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录...
计算机设id地址安全性,Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效...
weixin_42191359的博客
07-22 2021
Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效09/14/2020本文内容本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主机时生成事件 4624 和无效客户端 IP 地址和端口号的问题。适用于: WindowsServer 2008 R2 Service Pack 1、Windows 7 Service Pa...
有用户访问我的计算机,事件查看器有个奇怪用户账号登录HOME-W81$,我的电脑没有这个用户账号,本机是win8.1ʌ - Microsoft Community...
weixin_32240065的博客
06-21 712
已成功登录帐户。使用者:安全 ID:SYSTEM帐户名:HOME-W81$帐户域:WORKGROUP登录 ID:0x3E7登录类型:5模拟级别:模拟新登录:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3E7登录 GUID:{00000000-0000-0000-0000-000000000000}进程信息...
Windows登录日志详解
weixin_33901641的博客
10-07 4378
2019独角兽企业重金招聘Python工程师标准>>> ...
日志中的秘密:Windows登录类型知多少?
Vincent.woo(文子)
06-06 1350
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻
服务器安全日志显示审核失败,服务器上大量的ID为4625的审核失败日志
weixin_35286137的博客
08-03 4493
复制内容到剪贴板代码:日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2020/12/9 9:09:01事件 ID: 4625任务类别: 登录级别: 信息关键字: 审核失败用户: 暂缺计算机: hx2017描述:帐户登录失败。主题:安全 ID: SYSTEM帐户名: HX2017$帐户域: ...
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3241
windows暴破事件日志
Windows 2008登录日志说明
weixin_30633405的博客
11-12 421
来源:http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624#fields 4624: An account was successfully logged on Description of this event Field level details ...
服务器系统启用来宾用户,系统日志中出现Internet来宾账户
weixin_39529443的博客
08-04 355
近来查看系统日志发现有IIS来宾账户登录日志1. 登录事件类型: 审核成功事件来源: Security事件种类: 帐户登录事件 ID: 680日期:2009-1-30事件:15:51:44用户:DELL\IUSR_DELL计算机: DELL描述:尝试登录的用户:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登录帐户: IUSR_DELL源工作站:...
MSV1_0 Authentication Package MSV1_0 验证包
lionzl的专栏
07-07 3824
MSV1_0 Authentication Package MSV1_0 验证包 2007-11-01 18:00 809人阅读 评论(0) 收藏 举报 微软提供了MSV1_0验证包用于不需要定制验证的本地机器登录。LSA调用MSV1_0验证包来处理由GINA收集的登录数据供Winlogon登录过程使用。MSV1_0检查本地安全帐号管理器(SAM)数据库来决定登录数据是否属于安全主
windows nt
最新发布
07-29
Windows NT(New Technology)是微软公司开发的一种操作系统。它首次发布于1993年,作为Windows操作系统家族的一部分。与早期的Windows版本相比,Windows NT具有更强大的功能和更高级的设计。它是一个面向企业用户的操作系统,具有稳定性、可靠性和安全性等优点。 Windows NT被设计为多用户、多任务和网络操作系统。它支持多种处理器架构,包括x86、Alpha、MIPS和PowerPC等。Windows NT提供了许多先进的功能,如多线程处理、虚拟内存管理、分布式文件系统、安全性和权限控制等。 Windows NT的后续版本包括Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 8和Windows 10等。每个版本都有不同的特点和改进,以适应不同的用户需求和技术发展。 总之,Windows NT是微软公司推出的一款功能强大、稳定可靠的操作系统,适用于企业用户和专业用户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值