网站服务器取证案例,教你如何通过服务器日志进行入侵取证(转载)

本文详细介绍了如何通过服务器的日志文件,包括应用程序、安全、系统和DNS日志,进行入侵取证。讲解了日志文件的默认位置、大小以及如何在注册表中查找日志信息。同时,针对FTP和WWW日志,解析了日志格式,展示了如何分析入侵者的IP地址、尝试登录的时间和用户名,帮助管理员及时发现并防范潜在的安全威胁。
摘要由CSDN通过智能技术生成

转载自:网卫大学堂 http://www.wwdxt.com/

日志文件默认位置:

应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config,

默认文件大小512KB,管理员都会改变这个默认大小。

安全日志文件:%systemroot%/system32/config/SecEvent.EVT

系统日志文件:%systemroot%/system32/config/SysEvent.EVT

应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT

Internet信息服务FTP日志默认位置:%systemroot%/system32/logfiles/msftpsvc1/,默认每天一个日志

Internet信息服务WWW日志默认位置:%systemroot%/system32/logfiles/w3svc1/,默认每天一个日志

Scheduler服务日志默认位置:%systemroot%/schedlgu.txt

以上日志在注册表里的键:

应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值