日志文件

青云

第一课:什么是日志文件？
“所有的一切，日志都会告诉你答案，因为它最有耐心、最忠实。”——《船长日记》
日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。当然，对于一些应用程序来说，他们也有自己的日志，比如MSN Messenger、QQ等，多是txt或者log格式的文本文件。
Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%\system32\config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。大家可以在“开始→运行”菜单中输入“%systemroot%\system32\config”就能看到这些文件了。
船长提醒:
★对于服务器来说，还会有FTP、WWW、Scheduler服务等日志，这些文件受到“Event Log(事件记录)”服务的保护不能被删除，但可以被清空。大家如果执行删除操作，则系统会提示“文件正在被另一个人或程序使用”。
★日志文件的默认大小为512KB，它的位置也可以被重定向，我们可以在注册表的[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog]的Eventlog下面看到很多子表，里面可查到以上日志的定位目录。

第二课:玩日志，你别乱来
“日志是一种熟悉却又神秘的东西，如果邪恶的人动了它的主意，那它就显得非常邪恶。”——《船长日记》
大家可以试试双击打开那些日志文件，实际上是打不开的(用记事本打开是乱码)，要查看日志，需要到“开始→设置→控制面板→管理工具→事件查看器”菜单中，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等(见图1)。
查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情(见图2)。
前文中我们说了日志是可以清空的，具体方法就是:右键点击左栏中的项目，选择“清除所有事件”菜单即可。当然，你也可以将日志导出为文本或csv文件。
船长提醒:
对于网管来说，比较重要的一个工作就是:防止外来入侵者修改、清空日志，不要让入侵者毁掉证据。比如某个黑客入侵了你的系统，将系统日志文件的相关部分删除了，这样你就追查不到他了。实际上，这里明白的写着某个IP在某个时候曾经尝试过多少次登录你的操作系统。
第三课:如何查询和备份日志
“日志写多了，查起来就不那么容易了。按图索骥也好，分门别类也罢，你得有自己的一套方法。”——《船长日记》
前文我们讲了，直接用文本编辑器打开日志文件，看到的是乱码。那么有没有工具能直接阅读日志文件的呢？答案当然是肯定的。用微软resourceKit工具包中的dumpel.exe(大家可以在Windows安装盘中找到)就可以。此外，这个小软件还能帮助你备份日志，其使用方法为:
dumpel -f filename -s \\server -l log
其中，-f filename为输出日志的位置和文件名，-s \\server为输出远程计算机日志，-l log中的“log”可选为system、security、application等。例如，目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
我们可以将其配合计划任务来实现日志的定时备份。