日志功能使用问答
2020-12-29江苏孙秀洪
■江苏 孙秀洪
编者按:日常工作中,日志是分析和处理问题的基本来源,本文列举了一些和日志相关的问题,希望对大家的工作有所帮助。
请问怎样限制SQL Server数据库的日志文件大小?
答:在Windows系统环境下,逐一点选“开始”、“程序”、“Microsoft SQL Server”、“企业管理器”命令,弹出SQL Server企业管理器窗口,在该窗口左侧列表中,将鼠标定位在“Microsoft SQL Servers”、“SQL Server组”、“(Local)”节点上,用鼠标右键单击该节点下面的特定数据库选项,执行右键菜单中的“属性”命令,切换到本地SQL Server服务器特定数据库属性对话框。点击“事务日志”标签,打开对应标签设置页面,在“最大文件大小”位置处,选中“将文件增长限制为”选项,同时输入合适的数值,单击“确定”按钮保存设置即可。
请问Windows系统的Scheduler服务日志默认存储在哪个文件中?
答:存储在“%systemroot%/schedlgu.txt”文件中。
Web日志是分析网站数据的最基础来源,为了更好地分析、处理数据,我想知道这种日志有哪些格式?
答:Web日志一般有两种格式,一类是基于Apache服务器的NCSA日志格式,另一类是基于IIS服务器的W3C日志格式。其中,NCSA格式又分为NCSA普通日志格式、NCSA扩展日志格式这两种类型,后一种日志类型比较常见,而W3C扩展日志格式虽然有丰富的输出,但应用并不广泛。
Linux系统日志文件中记录了用户的一切操作痕迹,很多黑客为了清除系统攻击痕迹,往往会想尽一切办法访问修改系统日志文件,请问如何才能保护该系统日志文件的安全?
答:可以采取多种方法保护日志访问安全:首先通过合适设置,只允许root用户账号访问系统日志文件。其次将不再使用的xinetd服务停用掉。第三启用系统内核防火墙功能,禁止系统主机或者网络访问系统的UDP 514端口。第四以非root方式登录Ubuntu系统。
Linux系统日志中的每个消息都由四个域的固定格式组成,请问这四个域指的是什么?
答:指的是时间标签、生成消息的计算机的名字、生成消息的子系统的名字以及消息的内容这四个区域。
请问怎样查看Windows系统日志内容?
答:很简单!可以依次点击“开始”、“设置”、“控制面板”命令,弹出系统控制面板窗口,逐一双击“管理工具”、“事件查看器”图标,进入事件查看器窗口,在这里能看到日志功能自动记忆的各种事件,例如启动过程中系统加载了哪些驱动程序,系统在运行过程中出现了哪些错误等等。
当然,也可以依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“eventvwr.msc”命令,开启事件查看器窗口,这样也能查找到日志功能自动记忆的所有事件。
如何为特定用户账号授权,让其可以正常访问Web日志文件?
答:首先打开Web服务器所在主机系统的资源管理器窗口,找到日志文件的新路径,用鼠标单击保存文件夹图标,执行右键菜单中的“属性”命令,打开对应文件夹的属性对话框。选择其中的“安全”标签,展开安全标签设置页面,在这里将其他用户账号全部删除,再单击“添加”按钮,从其后弹出的账号选择对话框中,选中并导入特定的合法用户账号,再为合法用户账号设置合适的访问权限,最后单击“确定”按钮执行设置保存操作即可。
有一次,笔者偶然发现SQL Server数据库提示“80040e31”错误,在服务器系统中检查CPU、内存资源占用率时,发现它们占用很低,而且在事件日志中,看到数据库中相关文件的自动增长出现超时提示,不知道为什么会出现这种现象?
答:很可能是系统管理员在设置数据库时,文件增长是按百分比来增长的,当数据库文件尺寸很大时,新增操作一般都会报超时,而此时系统CPU、内存等资源占用率往往都很低。要避免上述现象,只要将上述的文件增长设置为一个更低的百分比或者直接指定增加多少兆字节即可。
近日,访问某个日志文件时,笔者发现了“20200407 04:091 10.192.60.17 10.192.60.35 80 GET/index.asp 200 Mozilla/4.0+(compatible;+MSIE+11.0;+W indows+XP;+DigExt)”这一段代码,请问从这段代码中能读出哪些信息?
答:通过分析这段代码,不难看出2020年4月7日,IP地址为10.192.60.17的用户通过访问IP地址为10.192.60.35服务器的80端口,浏览了一个页面index.asp,这位用户使用的上网浏览器为compatible;+MSIE+1 1.0;+Windows+XP+DigExt。很显然,有点水平的系统管理员能通过分析处理安全日志、Ftp日志和Web日志,来准确判断恶意用户的IP地址以及入侵时间。
请问怎样自动清除SQL Server 2005数据库日志内容?
答:只要逐一点击“开始”、“程序”、“Microsoft SQL Server”、“企业管理器”命令,弹出SQL Server企业管理器窗口,在该窗口左侧列表中,将鼠标定位在“Microsoft SQL Servers”、“SQL Server组”、“(Local)”节点上,用鼠标右键单击该节点下面的特定数据库选项,执行右键菜单中的“所有任务”、“收缩数据库”、“收缩文件”、“选择日志文件”选项,在其后界面的收缩方式设置项处,设置好收缩到多少兆,直接输入合适数值,确认后即可。日后数据库日志容量只要大于设定的数值,日志内容就能被自动清除了。
Linux系统包含三个主要的日志子系统,它们分别有什么作用?
答:Linux系统包含连接时间日志、进程统计日志、错误日志等三个子系统,其中连接时间日志子系统专门跟踪记录谁在何时登录到服务器系统,进程统计日志系统的目的是为系统中的基本服务提供命令使用统计,错误日志子系统专门向文件“/var/log/messages”报告值得注意的事件。
请问普通用户能否删除Windows系统日志文件?
答:不可以!所有类型的日志文件,往往都会受到Event Log服务的保护,任意一种日志文件,都不允许用户随意删除,当然其中的内容可以被定期清空。
一些黑客、木马程序常常会偷偷创建系统隐藏账号,并利用该账号监控或控制系统运行,请问有没有办法在第一时间发现陌生隐藏账号的创建行为?
答:在Windows 7系统环境下,通过事件查看器内置的附加任务功能,就可以对用户帐号创建事件进行智能报警提示,我们看到该提示后,就能知道系统中是否有人偷偷在创建系统隐藏账号了。只要依次单击“开始”、“控制面板”、“管理工具”、“本地安全策略”选项,将鼠标定位到“本地策略”、“审核策略”节点上,双击“审核账户管理”,同时选中“成功”、“失败”,单击“确定”按钮保存设置操作,这样Windows 7系统就能对用户账户管理方面的事件自动跟踪记录了。
其次打开计算机管理窗口,依次跳转到“本地用户和组”、“用户”节点上,在该节点下自由创建一个用户账号。之后打开系统事件查看器列表窗口,逐一展开“Windows日志”、“安全”分支,找到之前创建用户账号时生成的事件记录,右击该事件记录,执行“将任务附加到此事件”命令,弹出基本任务添加设置框,依照提示选中“显示消息”选项,输入好消息标题与内容,单击“完成”按钮返回。
这样,日后当黑客、木马程序尝试偷偷创建系统隐藏账号时,系统就能及时监控到这一异常操作行为,并出现有关报警提示,看到这样的报警提示,就可以识别出系统中是否有隐藏帐号被偷偷创建了。一旦发现有隐藏账号,一定要及时将它们删除或停用,以避免它们被黑客、木马程序非法利用。
有的网络管理员喜欢查看日志文件,来判断IIS平台的安全状态。但黑客常常会偷偷修改日志文件,以隐藏对IIS平台的攻击痕迹,请问如何保护该平台的日志安全?
答:首先进入IIS平台管理窗口,打开特定站点的属性对话框,选择“网站”选项卡,在对应选项设置页面中选中“启用日志记录”选项,在“活动日志格式”位置处定义好日志文件的格式,默认格式为W3C扩展日志文件格式,单击“属性”按钮,切换到日志文件属性对话框。在这里,我们可以设置日志文件的大小,日志文件的保存路径,默认保存路径为“%Windir%System32LogFiles”,单击“浏览”按钮,可以指定一个新的保存位置,当然该位置最好不要与IIS站点主目录处于相同的磁盘分区中。
其次进入系统的资源管理器窗口,找到日志文件的新路径,用鼠标单击保存文件夹图标,执行右键菜单中的“属性”命令,弹出目标文件夹的属性设置框。选择“安全”选项卡,展开安全选项设置页面,在这里将除了合法可信用户之外的其他账号依次删除,同时为合法可信用户授予合适的访问权限,最后单击“确定”按钮退出设置对话框。
请问如何对日志内容执行清空操作?
答:很简单!先打开事件查看器窗口,用鼠标右键单击该窗口左侧显示区域中的某种类型的日志文件,从弹出的快捷菜单中执行“清除所有事件”命令,就能将指定类型的日志文件全部清空了。
既然Windows的系统日志记录了所有与系统访问有关的一切操作,请问有没有办法通过日志记录,查看每次的系统开机、关机时间?
答:有办法!可以依次点击“开始”、“控制面板”命令,弹出系统控制面板窗口,逐一双击其中的“系统和维护”、“管理工具”、“事件查看器”图标,进入事件查看器窗口。将鼠标定位到该窗口左侧的“Windows Logs”、“系统”节点上,用鼠标右键单击“系统”节点,点击右键菜单中的“筛选当前日志”命令,切换到日志筛选对话框。选择“筛选器”选项卡,在对应选项设置页面的“记录时间”位置处,选择特定的时间段范围,将事件来源参数选择为“eventlog”,在“包括/排除事件ID”文本框中,输入“6005,6006”,单击“确定”按钮返回到“Windows Logs”、“系统”节点下面,这样我们就能查看到特定时间段内的开机记录和关机记录了。双击某个记录选项,从其后弹出的界面中,我们就能知道具体的开机时间和关机时间,有了这些证据,就能判断出别人究竟偷用自己的计算机多长时间了。
当然,对于Windows XP系统来说,我们可以先进入系统资源管理器窗口,找到“C:Windowsschedlgu.txt”文件,该文件就包含Windows系统自安装以来,曾经记录过的开机时间和关机时间,用记事本程序打开目标日志文件,就能快速查到某日的开机时间和关机时间信息。
对于Web服务器来说,不同格式的日志文件,其存储的数据内容是否不同?
答:虽然日志文件格式不同,但其所存储的内容都是相同的。
IIS5.0以上版本系统默认使用W3C格式的日志文件,请问该日志文件记录的内容包括哪些?
答:该日志记录的内容包括客户端地址、浏览器类型、使用协议、访问目标、访问日期、访问时间、结果状态等常规信息,仔细对这些信息进行筛选分析,能帮助单位或企业作出更好的决策,例如对于制造类企业来说,可决定相关产品有没有继续扩大生产的必要,或者决定是否有必要对站点进行完善升级,让其更有吸引力,以便让客户和单位内部员工能实现高效访问。
除此而外,从日志信息中,我们还能知道是否有恶意用户对Web服务器进行了入侵,因为任何入侵痕迹Web服务器都能一点不漏的记忆下来,通过分析攻击痕迹,可以得知恶意用户的攻击手法、攻击习惯以及其他一些攻击操作等,这些都有利于网络管理员及时采取针对性措施,防范恶意用户的再次攻击。一个有经验的网络管理员往往会定期查看Web服务器中各种类型的日志文件,从中判断Web服务器是否存在非法登录、程序是否执行出错、系统是否非正常关机、系统是否遭遇攻击等信息,通过查看具体的日志内容,可以快速定位错误或安全威胁的来源,并迅速采取应对措施,让Web服务器正常工作。
请问记录登录Linux系统过程的日志文件默认位于什么位置?
答:一般位于“/var/log/secure”路径。
为了保护IIS系统的Web日志安全,请问如何将日志保存路径转移到其他位置?
答:首先登录IIS系统所在主机,逐一单击“开始”、“设置”、“管理工具”、“Internet信息服务器”选项,弹出IIS控制台界面,选择Web服务器名称,打开它的右键菜单,选择“属性”命令,弹出Web服务器属性对话框。点击“网站”标签,选中“启用日志记录”选项,点击“属性”按钮,展开日志记录属性对话框。在默认保存位置文本框中,输入新的保存路径,确认后保存设置即可。
当系统遇到故障的时候,很多人会通过日志寻找故障根源。可有时系统遇到意外,用户无法使用事件查看器访问日志内容,这该如何是好呢?
答:当Windows系统遭遇病毒攻击的时候,事件查看器程序可能会被病毒强行禁止运行,这样用户就无法通过它查看各种事件日志。遇到这种情形时,不妨从网上下载使用“MyEventViewer”这款外力工具,来访问系统日志内容,因为它能完全替代事件查看器功能,允许用户轻松查看事件列表中的多个事件,以及在主窗口中会显示事件的描述和数据,而不用打开一个新窗口才能查看。
一般来说,当黑客成功通过IPC$共享连接通道入侵远程服务器系统后,所有入侵痕迹都会被服务器系统自动记录,可是用户往往无法从中查找到相关入侵痕迹,请问这是怎么回事?
答:很简单!为了躲避网管员的安全防范,黑客在入侵完服务器系统后,往往会清除日志记录,或者通过肉鸡入侵。
大家知道,Windows系统的日志功能会将用户的任何操作痕迹自动记录下来,包括什么时候开机、关机的,访问了哪些网站,运行了哪些应用程序等等;在多人共享使用一台计算机的情况下,这种日志功能显然会泄露用户的隐私信息,请问有没有办法不让Windows系统的日志功能记录用户的操作隐私?
答:只要关闭系统中的Windows Event Log服务,就能阻止Windows系统的日志功能偷偷记录用户的操作隐私了。在关闭目标系统服务时,可以依次点击“开始”、“运行”选项,在系统运行框中执行“services.msc”命令,弹出系统服务列表窗口,双击Windows Event Log服务选项,在对应服务属性框的“常规”标签页面中,按“停止”按钮,同时将该服务的启动类型参数修改为“自动”,再单击“确定”按钮即可。
在长时间工作之后,DHCP服务器的运行状态可能会存在一些问题,那么如何才能及时了解它的运行状态变化情况呢?
答:我们只要启用DHCP服务器的审核记录功能,让该功能自动追踪记录DHCP服务器的运行状态,日后只要定期查看相关的日志文件,就能及时了解它的运行状态变化情况了。在启用审核记录功能时,先打开DHCP控制台窗口,右击本地主机名称,执行“属性”命令,点选“常规”标签,选中“启用DHCP审核记录”选项,最后单击“确定”按钮执行设置保存操作。启用了审核记录功能后,该功能会将DHCP服务器工作状态信息自动存储到“X:WINNTSystem32dhcp”文件夹中;为了安全起见,我们可以修改该日志文件的默认路径,让非法用户无法找到该文件。
现在的局域网经常会受到ARP病毒的攻击,每次遭遇病毒攻击后,H3C交换机的日志功能,几乎都能将病毒引起的地址冲突记录记忆下来,那么如何通过查看日志记录,找出具体感染病毒的主机系统吗?
答:首先在交换机后台系统,使用“dis logbuff”命令,查看后台系统日志信息,找到具体的地址冲突记录,从中记下感染ARP病毒的主机MAC地址,以及该主机系统所处的VLAN信息。其次根据VLAN信息,查找单位的组网资料,获得病毒主机所连交换机的IP地址。第三远程登录进目标交换机后台系统,使用“disp macaddress”命令,来查看该交换机的端口与MAC地址的映射记录;第四根据病毒主机MAC地址信息,判断出病毒主机究竟连接在目标交换机的那个交换端口上。第五进入病毒主机所连交换端口视图模式状态,执行“shutdown”命令,切断病毒主机与单位局域网的连接,以免ARP病毒继续攻击网络中的其他主机。第六赶到病毒主机与交换机所连端口现场,检查端口线缆上是否有标签说明,或者直接顺着网络线缆,找出病毒主机的具体位置。最后使用专业工具查杀干净ARP病毒,再将病毒主机接入网络,同时在对应交换端口视图模式状态下执行“undo shutdown”命令,恢复病毒主机的上网连接状态。
客户端系统能否快速浏览网页,与DNS服务器工作状态的好坏有关;为了让DNS服务器始终运行稳定,我们有必要定期查看它的工作状态,以便提前知道它的运行隐患,请问如何查看DNS服务器的工作状态?
答:先以系统管理员权限登录服务器,依次单击“开始”、“程序”、“管理工具”、“DNS”命令,展开DNS服务器控制台,右击DNS服务器主机,点选右键菜单中的“属性”命令;点选属性对话框中的“日志”选项卡,在对应选项设置页面指定的日志文件中,记录了DNS服务器的工作状态信息,包括应答方面的、通知方面的、查询方面的信息。日后,定期打开该日志文件,就能查看到DNS服务器的工作状态了。
请问IIS日志文件的编码格式一般有几种?
答:一般有两种格式,分别为UTF-8格式与ANSI格式。其中,UTF-8格式不但支持日志中的英文语言,也支持中文语言,使用该日志格式确保用户日后阅读日志时不会遇到乱码内容,而ANSI格式虽然名气较大,但主要是为英文所设计的,用来保存其他语言时容易出现乱码内容。
IIS6.0系统支持集中的二进制日志记录,请问该日志记录有什么特点?
答:该日志记录是多个网站向单个日志文件写入不带格式的二进制日志数据的过程,当开启的所有站点在Web服务器上运行时,IIS系统将日志数据都写入单个日志文件。