Windowsdocker日志在哪 windows日志详解

转载

mob64ca140530fb 2024-08-22 19:00:52

文章标签 Windowsdocker日志在哪用户名日志文件系统日志 文章分类 Docker 云计算

使用方式

开始-程序-管理工具-计算机管理-系统工具-事件查看器。
然后开始清理日志。

各项日志说明

Windows 2000 的日志文件通常包括以下日志,当然以下不完全：

应用程序日志
安全日志
系统日志
DNS服务器日志
FTP日志
WWW日志

日志文件的默认位置

%systemroot%system32config,默认文件大小为512KB，管理员一般都会改变这个默认大小。%systemroot%system32configSecEvent.EVT%systemroot%system32configSysEvent.EVT%systemroot%system32configAppEvent.EVT%systemroot%system32logfilesmsftpsvc1，默认每天一个日志%systemroot%system32logfilesw3svc1，默认每天一个日志%systemroot%schedlgu.txt

以上日志在注册表中的键

应用程序日志、安全日志、系统日志、DNS服务器日志，他们这些LOG在注册表中的:

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多子表，里面可以查到以上日志的定位目录。

Schedluler服务日志在注册表中的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

FTP与WWW日志详解

FTP日志

ex001023，就是2000年10月23日产生的日志，用记事本就可以打开，假设如下所示。

#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录) 0318 127.0.0.1 [1]PASS -530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录) 032:06 127.0.0.1 [1]PASS -530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录) 0322 127.0.0.1 [1]PASS -530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录) 0324 127.0.0.1 [1]PASS -230 (登录成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目录失败) 0325 127.0.0.1 [1]QUIT -550 (推出FTP)

#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)

0318 127.0.0.1 [1]PASS -530 (登录失败)

032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录)

032:06 127.0.0.1 [1]PASS -530 (登录失败)

032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录)

0322 127.0.0.1 [1]PASS -530 (登录失败)

0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)

0324 127.0.0.1 [1]PASS -230 (登录成功)

0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)

0325 127.0.0.1 [1]QUIT -550 (推出FTP)

入侵时间，IP地址以及探测的用户名，如上例入侵者最终是使用administrator登录的，那么就要考虑更换此用户的密码，或更改用户名。

WWW日志

%systemroot%system32LogFilesW3SVC1目录下，默认是每天一个日志文件，下面例举一个典型的WWW日志文件。

`#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)`

#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)

第一条记录是，2000年10月23日，IP地址为192.168.1.26的客户通过访问192.168.1.37服务器的80端口，查看了一个iisstart.asp的页面，这个用户的浏览器为Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)，有经验的管理员可以通过安全日志、FTP日志和WWW日志来确定攻击者的IP。

即使删除了FTP日志和WWW日志，但是还是会在系统日志和安全日志中记录下来，较好的是只显示了你的机器名，并没有IP地址。

属性里记录了出现警告的原因，是因为有人试图用administrator用户名登录，出现了一个错误，来源是FTP服务。

这里有两种图标：钥匙（表示成功）和锁（表示当用户在做什么时被系统停止）。接连四个锁图标，表示四次失败审核，事件类型是帐户登录和登录注销失败。

双击第一个失败审核事件，可以获得这个事件的详细描述。

CYZ的工作站，用administrator的用户名登录本机，但是因为用户名未知或密码错误（实际上是密码错误）未能成功。另外还有DNS服务器日志，这里暂略。

日志清理

通过上面，得知日志文件通常有某项服务在后台保护，除了系统日志、安全日志、应用程序日志等等，它们的服务是Windos2000的关键进程，而且与注册表文件在一块，当Windows2000启动后，启动服务来保护这些文件，所以很难删除，而FTP日志、WWW日志和Scedlgu日志都可以轻易删除。

首先要获取Administrator密码或Administrator用户组成员之一，然后Telnet远程连接

`del schedlgu.txt # 如果无法删除，先停止正在使用此文件的进程 net stop "task scheduler"`

分别进入FTP和WWW的目录

`del ex*.log`

停止系统日志的守护进程

`net stop eventlog`

其他常见工具

clearlog.exe

这里我们介绍一个工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 应用程序日志
-sec = 安全日志
-sys = 系统日志
a. 可以清除远程计算机的日志
先用ipc连接上去: net use \ipipc$ 密码/user:用户名 然后开始清除: 方法
clearlogs \ip -app 这个是清除远程计算机的应用程序日志
clearlogs \ip -sec 这个是清除远程计算机的安全日志
clearlogs \ip -sys 这个是清除远程计算机的系统日志
b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
然后清除. 方法:
　
clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统日志

c.bat

`rem ============================== 开始 @echo off clearlogs -app clearlogs -sec clearlogs -sys del clearlogs.exe del c.bat exit rem ============================== 结束`

在你的计算机上面测试的时候可以不要 @echo off 可以显示出来. 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系统日志
第五行表示: 删除 clearlogs.exe 这个工具
第六行表示: 删除 c.bat 这个批处理文件
第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
AT 时间 c:c.bat

cleaniis.exe

工具:cleaniis.exe

使用方法:

`iisantidote <logfile dir> <ip or string to hide> iisantidote <logfile dir><ip or string to hide> stop stop opiton will stop iis before clearing the files and restart it after`

< logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解释:
cleaniis.exe iis日志存放的路径清除参数
什么意思呢？？我来给大家举个例子吧：
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. —–推荐使用这种方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
这个表示清除这个目录里面的所以的日志
c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变
这个测试表示在日志里面没有这个ip地址.
我们看一下日志的路径再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空. 同样这个也可以建立批处理. 方法同上面的那个