日志功能使用問答

■江蘇 孫秀洪

編者按：日常工作中，日志是分析和處理問題的基本來源，本文列舉了一些和日志相關的問題，希望對大家的工作有所幫助。

請問怎樣限制SQL Server數據庫的日志文件大小？

答：在Windows系統環境下，逐一點選“開始”、“程序”、“Microsoft SQL Server”、“企業管理器”命令，彈出SQL Server企業管理器窗口，在該窗口左側列表中，將鼠標定位在“Microsoft SQL Servers”、“SQL Server組”、“（Local）”節點上，用鼠標右鍵單擊該節點下面的特定數據庫選項，執行右鍵菜單中的“屬性”命令，切換到本地SQL Server服務器特定數據庫屬性對話框。點擊“事務日志”標簽，打開對應標簽設置頁面，在“最大文件大小”位置處，選中“將文件增長限制為”選項，同時輸入合適的數值，單擊“確定”按鈕保存設置即可。

請問Windows系統的Scheduler服務日志默認存儲在哪個文件中？

答：存儲在“%systemroot%/schedlgu.txt”文件中。

Web日志是分析網站數據的最基礎來源，為了更好地分析、處理數據，我想知道這種日志有哪些格式？

答：Web日志一般有兩種格式，一類是基于Apache服務器的NCSA日志格式，另一類是基于IIS服務器的W3C日志格式。其中，NCSA格式又分為NCSA普通日志格式、NCSA擴展日志格式這兩種類型，后一種日志類型比較常見，而W3C擴展日志格式雖然有豐富的輸出，但應用并不廣泛。

Linux系統日志文件中記錄了用戶的一切操作痕跡，很多黑客為了清除系統攻擊痕跡，往往會想盡一切辦法訪問修改系統日志文件，請問如何才能保護該系統日志文件的安全？

答：可以采取多種方法保護日志訪問安全：首先通過合適設置，只允許root用戶賬號訪問系統日志文件。其次將不再使用的xinetd服務停用掉。第三啟用系統內核防火墻功能，禁止系統主機或者網絡訪問系統的UDP 514端口。第四以非root方式登錄Ubuntu系統。

Linux系統日志中的每個消息都由四個域的固定格式組成，請問這四個域指的是什么？

答：指的是時間標簽、生成消息的計算機的名字、生成消息的子系統的名字以及消息的內容這四個區域。

請問怎樣查看Windows系統日志內容？

答：很簡單！可以依次點擊“開始”、“設置”、“控制面板”命令，彈出系統控制面板窗口，逐一雙擊“管理工具”、“事件查看器”圖標，進入事件查看器窗口，在這里能看到日志功能自動記憶的各種事件，例如啟動過程中系統加載了哪些驅動程序，系統在運行過程中出現了哪些錯誤等等。

當然，也可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“eventvwr.msc”命令，開啟事件查看器窗口，這樣也能查找到日志功能自動記憶的所有事件。

如何為特定用戶賬號授權，讓其可以正常訪問Web日志文件？

答：首先打開Web服務器所在主機系統的資源管理器窗口，找到日志文件的新路徑，用鼠標單擊保存文件夾圖標，執行右鍵菜單中的“屬性”命令，打開對應文件夾的屬性對話框。選擇其中的“安全”標簽，展開安全標簽設置頁面，在這里將其他用戶賬號全部刪除，再單擊“添加”按鈕，從其后彈出的賬號選擇對話框中，選中并導入特定的合法用戶賬號，再為合法用戶賬號設置合適的訪問權限，最后單擊“確定”按鈕執行設置保存操作即可。

有一次，筆者偶然發現SQL Server數據庫提示“80040e31”錯誤，在服務器系統中檢查CPU、內存資源占用率時，發現它們占用很低，而且在事件日志中，看到數據庫中相關文件的自動增長出現超時提示，不知道為什么會出現這種現象？

答：很可能是系統管理員在設置數據庫時，文件增長是按百分比來增長的，當數據庫文件尺寸很大時，新增操作一般都會報超時，而此時系統CPU、內存等資源占用率往往都很低。要避免上述現象，只要將上述的文件增長設置為一個更低的百分比或者直接指定增加多少兆字節即可。

近日，訪問某個日志文件時，筆者發現了“20200407 04:091 10.192.60.17 10.192.60.35 80 GET/index.asp 200 Mozilla/4.0+(compatible;+MSIE+11.0;+W indows+XP;+DigExt)”這一段代碼，請問從這段代碼中能讀出哪些信息？

答：通過分析這段代碼，不難看出2020年4月7日，IP地址為10.192.60.17的用戶通過訪問IP地址為10.192.60.35服務器的80端口，瀏覽了一個頁面index.asp，這位用戶使用的上網瀏覽器為compatible;+MSIE+1 1.0;+Windows+XP+DigExt。很顯然，有點水平的系統管理員能通過分析處理安全日志、Ftp日志和Web日志，來準確判斷惡意用戶的IP地址以及入侵時間。

請問怎樣自動清除SQL Server 2005數據庫日志內容？

答：只要逐一點擊“開始”、“程序”、“Microsoft SQL Server”、“企業管理器”命令，彈出SQL Server企業管理器窗口，在該窗口左側列表中，將鼠標定位在“Microsoft SQL Servers”、“SQL Server組”、“（Local）”節點上，用鼠標右鍵單擊該節點下面的特定數據庫選項，執行右鍵菜單中的“所有任務”、“收縮數據庫”、“收縮文件”、“選擇日志文件”選項，在其后界面的收縮方式設置項處，設置好收縮到多少兆，直接輸入合適數值，確認后即可。日后數據庫日志容量只要大于設定的數值，日志內容就能被自動清除了。

Linux系統包含三個主要的日志子系統，它們分別有什么作用？

答：Linux系統包含連接時間日志、進程統計日志、錯誤日志等三個子系統，其中連接時間日志子系統專門跟蹤記錄誰在何時登錄到服務器系統，進程統計日志系統的目的是為系統中的基本服務提供命令使用統計，錯誤日志子系統專門向文件“/var/log/messages”報告值得注意的事件。

請問普通用戶能否刪除Windows系統日志文件？

答：不可以！所有類型的日志文件，往往都會受到Event Log服務的保護，任意一種日志文件，都不允許用戶隨意刪除，當然其中的內容可以被定期清空。

一些黑客、木馬程序常常會偷偷創建系統隱藏賬號，并利用該賬號監控或控制系統運行，請問有沒有辦法在第一時間發現陌生隱藏賬號的創建行為？

答：在Windows 7系統環境下，通過事件查看器內置的附加任務功能，就可以對用戶帳號創建事件進行智能報警提示，我們看到該提示后，就能知道系統中是否有人偷偷在創建系統隱藏賬號了。只要依次單擊“開始”、“控制面板”、“管理工具”、“本地安全策略”選項，將鼠標定位到“本地策略”、“審核策略”節點上，雙擊“審核賬戶管理”，同時選中“成功”、“失敗”，單擊“確定”按鈕保存設置操作，這樣Windows 7系統就能對用戶賬戶管理方面的事件自動跟蹤記錄了。

其次打開計算機管理窗口，依次跳轉到“本地用戶和組”、“用戶”節點上，在該節點下自由創建一個用戶賬號。之后打開系統事件查看器列表窗口，逐一展開“Windows日志”、“安全”分支，找到之前創建用戶賬號時生成的事件記錄，右擊該事件記錄，執行“將任務附加到此事件”命令，彈出基本任務添加設置框，依照提示選中“顯示消息”選項，輸入好消息標題與內容，單擊“完成”按鈕返回。

這樣，日后當黑客、木馬程序嘗試偷偷創建系統隱藏賬號時，系統就能及時監控到這一異常操作行為，并出現有關報警提示，看到這樣的報警提示，就可以識別出系統中是否有隱藏帳號被偷偷創建了。一旦發現有隱藏賬號，一定要及時將它們刪除或停用，以避免它們被黑客、木馬程序非法利用。

有的網絡管理員喜歡查看日志文件，來判斷IIS平臺的安全狀態。但黑客常常會偷偷修改日志文件，以隱藏對IIS平臺的攻擊痕跡，請問如何保護該平臺的日志安全？

答：首先進入IIS平臺管理窗口，打開特定站點的屬性對話框，選擇“網站”選項卡，在對應選項設置頁面中選中“啟用日志記錄”選項，在“活動日志格式”位置處定義好日志文件的格式，默認格式為W3C擴展日志文件格式，單擊“屬性”按鈕，切換到日志文件屬性對話框。在這里，我們可以設置日志文件的大小，日志文件的保存路徑，默認保存路徑為“%Windir%System32LogFiles”，單擊“瀏覽”按鈕，可以指定一個新的保存位置，當然該位置最好不要與IIS站點主目錄處于相同的磁盤分區中。

其次進入系統的資源管理器窗口，找到日志文件的新路徑，用鼠標單擊保存文件夾圖標，執行右鍵菜單中的“屬性”命令，彈出目標文件夾的屬性設置框。選擇“安全”選項卡，展開安全選項設置頁面，在這里將除了合法可信用戶之外的其他賬號依次刪除，同時為合法可信用戶授予合適的訪問權限，最后單擊“確定”按鈕退出設置對話框。

請問如何對日志內容執行清空操作？

答：很簡單！先打開事件查看器窗口，用鼠標右鍵單擊該窗口左側顯示區域中的某種類型的日志文件，從彈出的快捷菜單中執行“清除所有事件”命令，就能將指定類型的日志文件全部清空了。

既然Windows的系統日志記錄了所有與系統訪問有關的一切操作，請問有沒有辦法通過日志記錄，查看每次的系統開機、關機時間？

答：有辦法！可以依次點擊“開始”、“控制面板”命令，彈出系統控制面板窗口，逐一雙擊其中的“系統和維護”、“管理工具”、“事件查看器”圖標，進入事件查看器窗口。將鼠標定位到該窗口左側的“Windows Logs”、“系統”節點上，用鼠標右鍵單擊“系統”節點，點擊右鍵菜單中的“篩選當前日志”命令，切換到日志篩選對話框。選擇“篩選器”選項卡，在對應選項設置頁面的“記錄時間”位置處，選擇特定的時間段范圍，將事件來源參數選擇為“eventlog”，在“包括/排除事件ID”文本框中，輸入“6005，6006”，單擊“確定”按鈕返回到“Windows Logs”、“系統”節點下面，這樣我們就能查看到特定時間段內的開機記錄和關機記錄了。雙擊某個記錄選項，從其后彈出的界面中，我們就能知道具體的開機時間和關機時間，有了這些證據，就能判斷出別人究竟偷用自己的計算機多長時間了。

當然，對于Windows XP系統來說，我們可以先進入系統資源管理器窗口，找到“C:Windowsschedlgu.txt”文件，該文件就包含Windows系統自安裝以來，曾經記錄過的開機時間和關機時間，用記事本程序打開目標日志文件，就能快速查到某日的開機時間和關機時間信息。

對于Web服務器來說，不同格式的日志文件，其存儲的數據內容是否不同？

答：雖然日志文件格式不同，但其所存儲的內容都是相同的。

IIS5.0以上版本系統默認使用W3C格式的日志文件，請問該日志文件記錄的內容包括哪些？

答：該日志記錄的內容包括客戶端地址、瀏覽器類型、使用協議、訪問目標、訪問日期、訪問時間、結果狀態等常規信息，仔細對這些信息進行篩選分析，能幫助單位或企業作出更好的決策，例如對于制造類企業來說，可決定相關產品有沒有繼續擴大生產的必要，或者決定是否有必要對站點進行完善升級，讓其更有吸引力，以便讓客戶和單位內部員工能實現高效訪問。

除此而外，從日志信息中，我們還能知道是否有惡意用戶對Web服務器進行了入侵，因為任何入侵痕跡Web服務器都能一點不漏的記憶下來，通過分析攻擊痕跡，可以得知惡意用戶的攻擊手法、攻擊習慣以及其他一些攻擊操作等，這些都有利于網絡管理員及時采取針對性措施，防范惡意用戶的再次攻擊。一個有經驗的網絡管理員往往會定期查看Web服務器中各種類型的日志文件，從中判斷Web服務器是否存在非法登錄、程序是否執行出錯、系統是否非正常關機、系統是否遭遇攻擊等信息，通過查看具體的日志內容，可以快速定位錯誤或安全威脅的來源，并迅速采取應對措施，讓Web服務器正常工作。

請問記錄登錄Linux系統過程的日志文件默認位于什么位置？

答：一般位于“/var/log/secure”路徑。

為了保護IIS系統的Web日志安全，請問如何將日志保存路徑轉移到其他位置？

答：首先登錄IIS系統所在主機，逐一單擊“開始”、“設置”、“管理工具”、“Internet信息服務器”選項，彈出IIS控制臺界面，選擇Web服務器名稱，打開它的右鍵菜單，選擇“屬性”命令，彈出Web服務器屬性對話框。點擊“網站”標簽，選中“啟用日志記錄”選項，點擊“屬性”按鈕，展開日志記錄屬性對話框。在默認保存位置文本框中，輸入新的保存路徑，確認后保存設置即可。

當系統遇到故障的時候，很多人會通過日志尋找故障根源。可有時系統遇到意外，用戶無法使用事件查看器訪問日志內容，這該如何是好呢？

答：當Windows系統遭遇病毒攻擊的時候，事件查看器程序可能會被病毒強行禁止運行，這樣用戶就無法通過它查看各種事件日志。遇到這種情形時，不妨從網上下載使用“MyEventViewer”這款外力工具，來訪問系統日志內容，因為它能完全替代事件查看器功能，允許用戶輕松查看事件列表中的多個事件，以及在主窗口中會顯示事件的描述和數據，而不用打開一個新窗口才能查看。

一般來說，當黑客成功通過IPC$共享連接通道入侵遠程服務器系統后，所有入侵痕跡都會被服務器系統自動記錄，可是用戶往往無法從中查找到相關入侵痕跡，請問這是怎么回事？

答：很簡單！為了躲避網管員的安全防范，黑客在入侵完服務器系統后，往往會清除日志記錄，或者通過肉雞入侵。

大家知道，Windows系統的日志功能會將用戶的任何操作痕跡自動記錄下來，包括什么時候開機、關機的，訪問了哪些網站，運行了哪些應用程序等等；在多人共享使用一臺計算機的情況下，這種日志功能顯然會泄露用戶的隱私信息，請問有沒有辦法不讓Windows系統的日志功能記錄用戶的操作隱私？

答：只要關閉系統中的Windows Event Log服務，就能阻止Windows系統的日志功能偷偷記錄用戶的操作隱私了。在關閉目標系統服務時，可以依次點擊“開始”、“運行”選項，在系統運行框中執行“services.msc”命令，彈出系統服務列表窗口，雙擊Windows Event Log服務選項，在對應服務屬性框的“常規”標簽頁面中，按“停止”按鈕，同時將該服務的啟動類型參數修改為“自動”，再單擊“確定”按鈕即可。

在長時間工作之后，DHCP服務器的運行狀態可能會存在一些問題，那么如何才能及時了解它的運行狀態變化情況呢？

答：我們只要啟用DHCP服務器的審核記錄功能，讓該功能自動追蹤記錄DHCP服務器的運行狀態，日后只要定期查看相關的日志文件，就能及時了解它的運行狀態變化情況了。在啟用審核記錄功能時，先打開DHCP控制臺窗口，右擊本地主機名稱，執行“屬性”命令，點選“常規”標簽，選中“啟用DHCP審核記錄”選項，最后單擊“確定”按鈕執行設置保存操作。啟用了審核記錄功能后，該功能會將DHCP服務器工作狀態信息自動存儲到“X:WINNTSystem32dhcp”文件夾中；為了安全起見，我們可以修改該日志文件的默認路徑，讓非法用戶無法找到該文件。

現在的局域網經常會受到ARP病毒的攻擊，每次遭遇病毒攻擊后，H3C交換機的日志功能，幾乎都能將病毒引起的地址沖突記錄記憶下來，那么如何通過查看日志記錄，找出具體感染病毒的主機系統嗎？

答：首先在交換機后臺系統，使用“dis logbuff”命令，查看后臺系統日志信息，找到具體的地址沖突記錄，從中記下感染ARP病毒的主機MAC地址，以及該主機系統所處的VLAN信息。其次根據VLAN信息，查找單位的組網資料，獲得病毒主機所連交換機的IP地址。第三遠程登錄進目標交換機后臺系統，使用“disp macaddress”命令，來查看該交換機的端口與MAC地址的映射記錄；第四根據病毒主機MAC地址信息，判斷出病毒主機究竟連接在目標交換機的那個交換端口上。第五進入病毒主機所連交換端口視圖模式狀態，執行“shutdown”命令，切斷病毒主機與單位局域網的連接，以免ARP病毒繼續攻擊網絡中的其他主機。第六趕到病毒主機與交換機所連端口現場，檢查端口線纜上是否有標簽說明，或者直接順著網絡線纜，找出病毒主機的具體位置。最后使用專業工具查殺干凈ARP病毒，再將病毒主機接入網絡，同時在對應交換端口視圖模式狀態下執行“undo shutdown”命令，恢復病毒主機的上網連接狀態。

客戶端系統能否快速瀏覽網頁，與DNS服務器工作狀態的好壞有關；為了讓DNS服務器始終運行穩定，我們有必要定期查看它的工作狀態，以便提前知道它的運行隱患，請問如何查看DNS服務器的工作狀態？

答：先以系統管理員權限登錄服務器，依次單擊“開始”、“程序”、“管理工具”、“DNS”命令，展開DNS服務器控制臺，右擊DNS服務器主機，點選右鍵菜單中的“屬性”命令；點選屬性對話框中的“日志”選項卡，在對應選項設置頁面指定的日志文件中，記錄了DNS服務器的工作狀態信息，包括應答方面的、通知方面的、查詢方面的信息。日后，定期打開該日志文件，就能查看到DNS服務器的工作狀態了。

請問IIS日志文件的編碼格式一般有幾種？

答：一般有兩種格式，分別為UTF-8格式與ANSI格式。其中，UTF-8格式不但支持日志中的英文語言，也支持中文語言，使用該日志格式確保用戶日后閱讀日志時不會遇到亂碼內容，而ANSI格式雖然名氣較大，但主要是為英文所設計的，用來保存其他語言時容易出現亂碼內容。

IIS6.0系統支持集中的二進制日志記錄，請問該日志記錄有什么特點？

答：該日志記錄是多個網站向單個日志文件寫入不帶格式的二進制日志數據的過程，當開啟的所有站點在Web服務器上運行時，IIS系統將日志數據都寫入單個日志文件。