精华内容
下载资源
问答
  • python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
  • Windows系统日志文件分析

    千次阅读 2012-09-22 09:44:21
    日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 ...
    日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。
      一、什么是日志文件
      日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。
      二、如何查看日志文件
      在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。
      三、Windows日志文件的保护
      日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。
      1、修改日志文件存放目录
      Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
      点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
      以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。
      2. 设置文件访问权限
      修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
      右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
      四、Windows日志实例分析
      在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。
      1. 查看正常开关机记录
      在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
      2. 查看DHCP配置警告信息
      在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。
      五、WEB日志文件分析
      以下列日志记录为例,进行分析:
      #Software: Microsoft Internet Information Services 6.0
      #Version: 1.0
      #Date: 2006-09-24 07:19:27
      #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
      2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /index.asp - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
      2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/css.css - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
      2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/1.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
      2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/home_top_new2.jpg - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
      2006-09-24 07:19:27 W3SVC1 192.168.99.173 GET /sxjyzx/sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
      分析:
      date表示记录访问日期;
      time访问时间;
      s-sitename表示你的虚拟主机的代称。
      s-ip;服务端ip
      cs-method表示访问方法,常见的有两种,一是GET,就是平常我们打开一个URL访问的动作,二是POST,提交表单时的动作;
      cs-uri-stem就是访问哪一个文件;
      cs-uri-query是指访问地址的附带参数,如asp文件后面的字符串id=12等等,如果没有参数则用-表示;
      s-port 访问的端口
      cs-username 访问者名称
      c-ip访问者IP
      cs(User-Agent)访问来源;
      sc-status状态,200表示成功,403表示没有权限,404表示打不到该页面,500表示程序有错;
      sc-substatus 服务端传送到客户端的字节大小;
      cs–win32-statu客户端传送到服务端的字节大小;
      1**:请求收到,继续处理
      2**:操作成功收到,分析、接受
      3**:完成此请求必须进一步处理
      4**:请求包含一个错误语法或不能完成
      5**:服务器执行一个完全有效请求失败
      100——客户必须继续发出请求
      101——客户要求服务器根据请求转换HTTP协议版本
      200——交易成功
      201——提示知道新文件的URL
      202——接受和处理、但处理未完成
      203——返回信息不确定或不完整
      204——请求收到,但返回信息为空
      205——服务器完成了请求,用户代理必须复位当前已经浏览过的文件
      206——服务器已经完成了部分用户的GET请求
      300——请求的资源可在多处得到
      301——删除请求数据
      302——在其他地址发现了请求数据
      303——建议客户访问其他URL或访问方式
      304——客户端已经执行了GET,但文件未变化
      305——请求的资源必须从服务器指定的地址得到
      306——前一版本HTTP中使用的代码,现行版本中不再使用
      307——申明请求的资源临时性删除
      400——错误请求,如语法错误
      401——请求授权失败
      402——保留有效ChargeTo头响应
      403——请求不允许
      404——没有发现文件、查询或URl
      405——用户在Request-Line字段定义的方法不允许
      406——根据用户发送的Accept拖,请求资源不可访问
      407——类似401,用户必须首先在代理服务器上得到授权
      408——客户端没有在用户指定的饿时间内完成请求
      409——对当前资源状态,请求不能完成
      410——服务器上不再有此资源且无进一步的参考地址
      411——服务器拒绝用户定义的Content-Length属性请求
      412——一个或多个请求头字段在当前请求中错误
      413——请求的资源大于服务器允许的大小
      414——请求的资源URL长于服务器允许的长度
      415——请求资源不支持请求项目格式
      416——请求中包含Range请求头字段,在当前请求资源范围内没有range指示值,请求也不包含If-Range请求头字段
      417——服务器不满足请求Expect头字段指定的期望值,如果是代理服务器,可能是下一级服务器不能满足请求
      500——服务器产生内部错误
      501——服务器不支持请求的函数
      502——服务器暂时不可用,有时是为了防止发生系统过载
      503——服务器过载或暂停维修
      504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长
      505——服务器不支持或拒绝支请求头中指定的HTTP版本
      FTP日志分析
      FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日产生的日志,用记事本可直接打开,普通的有入侵行为的日志一般是这样的:
      #Software: Microsoft Internet Information Services 5.0(微软IIS5.0)
      #Version: 1.0 (版本1.0)
      #Date: 20040419 0315 (服务启动时间日期)
      #Fields: time cip csmethod csuristem scstatus
      0315 127.0.0.1 [1]USER administator 331(IP地址为127.0.0.1用户名为administator试图登录)
      0318 127.0.0.1 [1]PASS – 530(登录失败)
      032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)
      032:06 127.0.0.1 [1]PASS – 530(登录失败)
      032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录)
      0322 127.0.0.1 [1]PASS – 530(登录失败)
      0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator试图登录)
      0324 127.0.0.1 [1]PASS – 230(登录成功)
      0321 127.0.0.1 [1]MKD nt 550(新建目录失败)
      0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)
      从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什么问题了。

    展开全文
  • Python解析windows系统日志文件

    千次阅读 2019-06-19 19:28:25
    DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,...Python取证技术: Windows 事件日志分析 1.安装python_Evtx...

    DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。
    参考博客:
    python网络编程学习笔记:XML生成与解析
    Python取证技术: Windows 事件日志分析

    1.安装python_Evtx

    直接使用pip install python-evtx命令安装即可

    2.感兴趣的日志部分筛选

    import mmap
    import contextlib
    
    from Evtx.Evtx import FileHeader
    from Evtx.Views import evtx_file_xml_view
    from xml.dom import minidom
    
    def MyFun():
        EvtxPath = "D:Application.evtx"
    
        with open(EvtxPath,'r') as f:
            with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:
                fh = FileHeader(buf,0)
                for xml, record in evtx_file_xml_view(fh):
                    #只输出事件ID为4624的内容
                    InterestEvent(xml,4624)
                print ""
    
    # 过滤掉不需要的事件,输出感兴趣的事件
    def InterestEvent(xml,EventID):
        xmldoc = minidom.parseString(xml)
        # 获取EventID节点的事件ID
        booknode=root.getElementsByTagName('event') 
        for booklist in booknode: 
    	    bookdict={} 
    	    bookdict['id']=booklist.getAttribute('id') 
    	    bookdict['head']=booklist.getElementsByTagName('head')[0].childNodes[0].nodeValue.strip() 
    	    bookdict['name']=booklist.getElementsByTagName('name')[0].childNodes[0].nodeValue.strip() 
    	    bookdict['number']=booklist.getElementsByTagName('number')[0].childNodes[0].nodeValue.strip() 
    	    bookdict['page']=booklist.getElementsByTagName('page')[0].childNodes[0].nodeValue.strip() 
        if EventID == eventID:
            print xml
    
    if __name__ == '__main__':
        MyFun()
    
    展开全文
  • 一番调研以后,在仅使用java的基础上读取系统日志文件不太可能(就个人调研结果来看),原因如下: 1)系统日志文件(.evtx)是以机器码形式存储的,使用C++等语言(直接与机器打交道),可以直接读取且解析其内容...

    近日客户提出需求,需要调研如何使用Java来读取Windows日志文件(类型:应用程序,安全,Setup,系统)。

    一番调研以后,在仅使用java的基础上读取系统日志文件不太可能(就个人调研结果来看),原因如下:

    1)系统日志文件(.evtx)是以机器码形式存储的,使用C++等语言(直接与机器打交道),可以直接读取且解析其内容。而使用Java(JVM的存在,字节码级别的编译),意味这我们需要知道文件机器码的具体转化规则方可解析(微软没有提供相关的内容)

    1 是否可以使用Java来调用C++方法?

    JNA(Java Native Access)是可以让Java调用C++生成的DLL(动态链接库),将C++中的方法,以Java接口的方式来实现。与JNI不同的是,JNA可以直接调用本地的一些现有的库,而JNI则必须自己手动创建且生成动态链接库再进行调用。但是也有不足之处,JNA只能做到Java调用C++的代码,而JNI还允许C++调用Java的代码。具体的选择就看具体需求了。

    2 JNA源码下载

    JNA下载

    两个jar包都需要下载,并且导入到自己的项目之中。

    3 编写测试方法

    项目目录:

    测试方法:

    @Test
        public void testReadEventLogEntries2() {
            Advapi32Util.EventLogIterator iter = new Advapi32Util.EventLogIterator("Application");
            while (iter.hasNext()) {
                Advapi32Util.EventLogRecord record = iter.next();
                StringBuffer data = new StringBuffer();
                String[] str = record.getStrings();
                if (str == null) {
                    //若任务描述为空
                } else {
                    for (String s : str) {
                        data.append(s);
                    }
                }
                WinNT.EVENTLOGRECORD record1 = record.getRecord();
                //get event generated time
                SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
                String generatedTime = simpleDateFormat.format(new Date(record1.TimeGenerated.longValue() * 1000));
                System.out.println(record.getRecordNumber()
                        + " Event ID: " + (short) record.getEventId()
                        + ", Event Type: " + record.getType()
                        + ", Event Time: " + generatedTime
                        + ": Event Category: " + record1.EventCategory.toString()
                        + ", Event Source: " + record.getSource()
                        + ", Event Description: " + data.toString());
            }
        }

    结果:

    4 实现原理

    首先查看类Advapi32.java

    可以看到该实例加载了一个本地动态链接库(Advapi32.dll),这个文件是Windows系统下自带的(没有的话还请自行下载)。

    可以看到,这个接口实现了该链接库对应的OpenEventLog方法,第一个参数ServerName(一般置null),第二个参数代表日志类型(Application:应用程序;Security:安全;Setup;System:系统),其中安全日志需要将IDEA以管理员身份运行方可成功。

    这就是利用JNA读取系统日志文件的核心部分。

    不足的是,该方法仅能读取本机的日志文件,对于从别的电脑导出的日志文件的读取,暂时还无法实现(指定文件绝对路径来读取或是以文件类型做参数来读取),且需要人为指定系统日志的类型(Setup类型还无法读取),后续将继续完善

    展开全文
  • WindowsNT/2000的系统日志文件

    千次阅读 2016-06-02 15:48:35
     WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。...
    一.Windows日志系统
    

        WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。
    Windows NT/2000主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
    1.应用程序日志
    记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。
    2.系统日志
    记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
    3.安全日志
    记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区,表14-3-1描述了事件记录的结构。

    表14-3-1  事件日志结构

    记录头

    日期

    时间

    主体标识

    计算机名

    事件标号

    事件来源

    事件等级

    事件类别

    事件描述

    事件描述区的内容取决于具体的事件,可以是事件的名称、详细说明、产生该事件的原因、建议的解决方案等信息。

    附加数据

    可选数据区,通常包括可以以16进制方式显示的二进制数据。具体内容由产生事件记录的应用程序决定。

        事件标题包含以下关于事件的信息,如表14-3-2所描述。

    表14-3-2  事件标题信息

    日期

    事件发生的日期

    时间

    事件发生的时间

    用户

    用户事件发生时己登录的用户的用户名。

    计算机

    发生事件的计算机的名称。

    事件ID

    标识事件类型的事件编号。产品支持代表可以使用事件ID来帮助了解系统中发生的事情。

    来源

    事件的来源。它可以是程序、系统组件或大型程序的个别组件的名称。

    类型

    事件的类型。它可以是以下五种类型之一:错误、警告、信息、成功审核或失败审核。

    类别

    按事件来源对事件进行的分类。它主要用于安全日志。

        所记录的每个事件的描述取决于事件类型。日志中的每个事件都可归类为表14-3-3所描述的类型之一。

    表14-3-3  事件类型

    信息

    描述任务(如应用程序、驱动程序或服务)成功运行的事件。例如,当网络驱动程序成功加载时将记录“信息”事件。

    警告

    不一定重要但可能表明将来有可能出现问题的事件。例如,当磁盘空间快用完时将记录“警告”消息。

    错误

    描述重要问题(如关键任务失败)的事件。“错误”事件可能涉及数据丢失或功能缺失。例如,当启动过程中无法加载服务时将记录“错误”事件。

    成功审核

    (安全日志)

    描述成功完成受审核安全事件的事件。例如,当用户登录到计算机时将记录“成功审核”事件。

    失败审核

    (安全日志)

    描述未成功完成的受审核安全事件的事件。例如。当用户无法访问网络驱动器时可能记录“失败审核”事件。

     Windows2003的日志系统通常放在下面的位置:
    (1)安全日志文件:C:\WINDOWS\system32\config\SecEvent.EVT。
    (2)系统日志文件:C:\WINDOWS\system32\config\SysEvent.EVT。
    (3)应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.EVT。
    (4)FTP服务日志默认位置:C:\WINDOWS\system32\LogFiles\msftpsvc1\。
    (5)WWW服务日志默认位置:C:\WINDOWS\system32\LogFiles\w3svc1\。
    日志要做到客观、真实必须要从日志的安全性来考虑,在这方面Windows系统日志也对日志进行了适当的保护。Windows系统的日志往往会通过后台服务来对日志文件起到一定的保护作用。服务Event Log就是用来保护事件日志的。并且日志文件还会通过注册表中设置键值来定位。系统管理员还会通过备份、移位、设置文件访问权限等手段来对日志文件进行适当的保护。但是,这样做对系统日志的安全性来说远未得到保障。日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windows2003的关键进程,而且与注册表文件在一块,当Windows2003启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及SchedLgU日志都是可以轻易地删除的。
    二.IIS的日志及日志格式
        IIS(Internet 信息服务)的日志是用于记录关于用户活动的细节并按一定的格式创建的可以查看的文件。
    信息存储在ASCII文件或与ODBC兼容的数据库中。IIS中的日志记录信息超出了Microsoft Windows事件日志或性能监视器功能的范围。日志包括的信息诸如哪些用户访问了您的站点、访问者查看了什么内容,以及最后一次查看该信息的时间。可以使用日志来评估内容受欢迎程度或识别信息瓶颈。
    IIS服务提供了四种日志文件的格式可以供你选择,他们分别是:
    (1)Microsoft IIS日志文件格式:一种固定的ASCII格式。
    (2)NCSA共用日志文件格式:一种固定的ASCII格式。
    (3)ODBC日志记录:一种记录到数据库的固定格式,与该数据库兼容。
    (4)W3C扩展日志文件格式:一种可自定义的ASCII格式,默认情况下选择此格式。
    下面分别详细介绍这些格式。
    1.IIS日志文件格式
    IIS格式是固定的(不能自定义的)ASCII格式。IIS格式比NCSA公用格式记录的信息多。IIS格式包括一些基本项目,如用户的IP地址、用户名、请求日期和时间、服务状态码和接收的字节数。另外,IIS格式还包括详细的项目,如所用时间、发送的字节数、动作(例如,GET命令执行的下载)和目标文件。这些项目用逗号分开,使得格式比使用空格作为分隔符的其他ASCII格式更易于阅读。时间记录为本地时间。
    当在文本编辑器中打开IIS格式的文件时,项目与下面的示例相似:

    192.168.114.201,-,03/20/01,7:55:20,w3svc2,sales1,172.21.13.45,4502,163,3223,200,0,GET, /DeptLogo.gif ,-,

    172.16.255.255,anonymous, 03/20/01, 23:58:11, MSFTPSVC, SALES1, 172.16.255.255, 60,275,0,0,0, pass, /Intro.htm, -,

        上面所示的项目将在下面的表中加以说明。每个表的顶行来自第二个站点实例(以W3SVC2形式出现在“服务”下面),底行来自第一个FTP站点实例(以MSFTPSVC1形式出现在“服务”下面)。由于页宽所限,该示例出现在三个表中。

    用户的IP地址

    用户名称

    日期

    时间

    服务和实例

    计算机名

    192.168.114.201

     

    03/20/01

    7:55:20

    W3SVC2

    SALES1

    172.16.255.255

    匿名

    03/20/01

    23:58:11

    MSFTPSVC1

    SALES1

    服务器IP地址

    所用时间

    发送字节

    接收字节

    服务状态码

    状态码

    172.21.13.45

    4502

    163

    3223

    200

    0

    172.16.255.255

    60

    275

    0

    0

    0

    请求类型

    操作目标

    参数

    GET

    /DeptLogo.gif

     

    [376] PASS

    /Intro.htm

     

        在上面的示例中,第一个项目表明:2001年3月20日上午7:55,IP地址为192.168.114.201的匿名用户发出一条HTTP GET命令,从IP地址为172.21.13.45、名为SALES1的服务器请求图像文件/DeptLogo.gif。163字节的HTTP请求有4502毫秒(4.5秒)的处理时间来完成,并将3223个字节的数据毫无错误地返回给匿名用户。
    2.NCSA公用日志文件格式
    (美国)国家超级计算技术应用中心(NCSA)公用格式是一种固定的(不能自定义的)ASCII格式,可用于网站但不能用于FTP站点。NCSA公用格式记录了关于用户请求的基本信息,如远程主机名、用户名、日期、时间、请求类型、HTTP状态码和服务器发送的字节数。项目之间用空格分开;时间记录为本地时间。
    当在文本编辑器中打开NCSA公用格式文件时,项目与下面的示例相似:

     以上示例的项目在下面的表中说明。由于页宽所限,该示例显示在两个表中。

    远程主机

    远程登录名称

    用户名称

    日期

    时间和GMT时差

    172.21.13.45

    -

    Microsoft\fred

    08/Apr/2001

    17:39:10 -0800

    请求/版本

    服务状态码

    传送的字节

    GET/scripts/iisadmin/ism.dll?http/serv HTTP/1.0

    200

    3401

    上面的项目表明:Microsoft域中IP地址为172.21.13.45、名为Fred的用户在2001年4月8日下午5:39分发出一条HTTP GET命令(即下载一个文件)。该请求将3401个字节的数据正确无误地返回给名为Fred的用户。
    3. 使用ODBC日志记录用适当的属性为日志数据创建包含表的数据库
    IIS中包含有SQL模板文件,它可以在SQL数据库中运行,以创建从IIS接受日志项目的表。该文件名为Logtemp.sql且位于systemroot\System32\Inetsrv(如果您接受了安装默认值)。下列属性是必需的:

    表14-3-4  ODBC日志属性

    属性名称

    属性类型

    ClientHost

    varchar(255)

    Username

    varchar(255)

    LogTime

    datetime

    Service

    varchar(255)

    Machine

    varchar(255)

    ServerIP

    varchar(50)

    ProcessingTime

    Int

    BytesRecvd

    Int

    BytesSent

    Int

    ServiceStatus

    Int

    Win32Status

    Int

    Operation

    varchar(255)

    Target

    varchar(255)

    Parameters

    varchar(255)

        为数据库赋予系统数据源名(DSN),ODBC软件用它来查找数据库。向IIS提供数据库和表的名称。如果访问数据库时需要用户名和密码,也必须在IIS中指定。
    4.W3C扩展日志文件格式
    W3C扩展格式是一个包含多个不同属性、可自定义的ASCII格式。可以记录对您来说重要的属性,同时通过省略不需要的属性字段来限制日志文件的大小。属性以空格分开,时间以UTC形式记录。W3C扩展日志记录定义如表14-3-5。

    表14-3-5  W3C扩展日志记录定义

    前缀

    含义

    s-

    服务器操作。

    c-

    客户端操作。

    cs-

    客户端到服务器的操作。

    sc-

    服务器到客户端的操作。

    字段

    格式

    描述

    日期

    data

    活动发生的日期。

    时间

    time

    活动发生的时间。

    客户端IP地址

    c-ip

    访问服务器的客户端IP地址。

    用户名

    cs-username

    访问服务器的已验证用户的名称。这不包括用连字符(-)表示的匿名用户。

    服务名

    s-sitename

    客户端所访问的该站点的Internet服务和实号码。

    服务器IP地址

    s-ip

    生成日志项的服务器的IP地址。

    服务器端口

    s-port

    客户端连接到的端口号

    方法

    cs-method

    客户端试图执行的操作(例如GET方法)

    URI资源

    cs-uri-stem

    访问的资源,例如Default.htm。

    URI查询

    cs-uri-query

    客户端正在尝试执行的查询(如果有)。

    协议状态

    sc-status

    以HTTP或FTP术语表示的操作的状态。

    Win32状态

    sc-win32-status

    用Windows使用的术语表示的操作的状态。

    发送的字节数

    sc-bytes

    服务器发送的字节数。

    接收的字节数

    cs-bytes

    服务器接收的字节数。

    所用的时间

    time-taken

    操作花费的时间长短(毫秒)。

    协议版本

    cs-version

    客户端使用的协议(HTTP,FTP)版本。对于HTTP,这将是HTTP1.0或HTTP1.1。

    主机

    cs-host

    显示主机头的内容。

    用户代理

    cs(User-Agent)

    在客户端使用的浏览器

    Cookie

    cs(Cookie)

    发送或接收的Cookie的内容(如果有)。

    引用站点

    cs(Referer)

    用户访问的前一个站点。此站点提供到当前站点的链接。

        以下示例显示了使用下列属性的文件语句:时间、客户端IP地址、方法、URL资源、协议状态和协议版本。

    上面所示的项目表明:2001年5月2日下午5:42(UTC),HTTP版本为1.0、IP地址为172.16.255.255的用户针对/Default.htm文件发出了HTTP GET命令。该请求正确无误地返回。#Date:属性字段表明了第一个日志项目建立的时间,也就是创建日志的时间。#Version:属性字段指出使用的是W3C扩展日志记录格式。
    5.自定义错误消息
    所有IIS自定义错误消息都显示行业标准HTTP代码,这样可以确保与HTTP1.1错误消息一致。但是,可以使用IIS中的“自定义错误”属性页来自定义常规的HTTP错误消息。
    自定义错误消息作为列表显示在IIS的管理单元中,IIS将其作为单个属性来处理。例如,在网站级别配置一组自定义错误消息后,该服务器下的所有目录均继承整个自定义错误消息列表。即并不会合并这两个自定义错误消息列表(分别用于服务器和目录)。
    可以使用IIS来自定义以下HTTP错误消息。

    表14-3-6  HTTP错误消息

    错误代码

    错误消息

    400

    无法解析此请求。

    401.1

    未经授权:访问由于凭据无效被拒绝。

    401.2

    未经授权:访问由于服务器配置倾向使用替代身份验证方法而被拒绝。

    401.3

    未经授权:访问由于ACL对所请求资源的设置被拒绝。

    401.4

    未经授权:Web服务器上安装的筛选器授权失败。

    401.5

    未经授权:ISAPI/CGI应用程序授权失败。

    401.7

    未经授权:由于Web服务器上的URL授权策略而拒绝访问。

    403

    禁止访问:访问被拒绝。

    403.1

    禁止访问:执行访问被拒绝。

    403.2

    禁止访问:读取访问被拒绝。

    403.3

    禁止访问:写入访问被拒绝。

    403.4

    禁止访问:需要使用SSL查看该资源。

    403.5

    禁止访问:需要使用SSL 128查看该资源。

    403.6

    禁止访问:客户端的IP地址被拒绝。

    403.7

    禁止访问:需要SSL客户端证书。

    403.8

    禁止访问:客户端的DNS名称被拒绝。

    403.9

    禁止访问:太多客户端试图连接到Web服务器。

    403.10

    禁止访问:Web服务器配置为拒绝执行访问。

    403.11

    禁止访问:密码已更改。

    403.12

    禁止访问:服务器证书映射器拒绝了客户端证书访问。

    403.13

    禁止访问:客户端证书已在Web服务器上吊销。

    403.14

    禁止访问:在Web服务器上已拒绝目录列表。

    403.15

    禁止访问:Web服务器已超过客户端访问许可证限制。

    403.16

    禁止访问:客户端证书格式错误或未被Web服务器信任。

    403.17

    禁止访问:客户端证书已经到期或者尚未生效。

    403.18

    禁止访问:无法在当前应用程序池中执行请求的URL。

    403.19

    禁止访问:无法在该应用程序池中为客户端执行CGI。

    403.20

    禁止访问:Passport登录失败。

    404

    找不到文件或目录。

    404.1

    文件或目录未找到:网站无法在所请求的端口访问。

    注:404.1错误只会出现在具有多个IP地址的计算机上。如果在特定IP地址/端口组合上收到客户端请求,而且没有将IP地址配置为在该特定的端口上侦听,则IIS返回404.1HTTP错误。例如,如果一台计算机有两个IP地址,而只将其中一个IP地址配置为在端口80上侦听,则另一个IP地址从端口80收到的任何请求都将导致IIS返回404.1错误。只应在此服务级别设置该错误,因为只有当服务器上使用多个IP地址时才会将它返回给客户端。

    404.2

    文件或目录无法找到:锁定策略禁止该请求。

    404.3

    文件或目录无法找到:MIME映射策略禁止该请求。

    405

    用于访问该页的HTTP动作未被许可。

    406

    客户端浏览器不接受所请求页面的MIME类型。

    407

    Web服务器需要初始的代理验证。

    410

    文件已删除。

    412

    客户端设置的前提条件在Web服务器上评估时失败。

    414

    请求URL太大,因此在Web服务器上不接受该URL。

    500

    服务器内部错误。

    500.11

    服务器错误:Web服务器上的应用程序正在关闭。

    500.12

    服务器错误:Web服务器上的应用程序正在重新启动。

    500.13

    服务器错误:Web服务器太忙。

    500.14

    服务器错误:服务器上的无效应用程序配置。

    500.15

    服务器错误:不允许直接请求GLOBAL.ASA。

    500.16

    服务器错误:UNC授权凭据不正确。

    500.17

    服务器错误:URL授权存储无法找到。

    500.18

    服务器错误:URL授权存储无法打开。

    500.19

    服务器错误:该文件的数据在配置数据库中配置不正确。

    500.20

    服务器错误:URL授权域无法找到。

    500 100

    内部服务器错误:ASP错误。

    501

    标题值指定的配置没有执行。

    502

    Web服务器作为网关或代理服务器时收到无效的响应。

    展开全文
  • http://www.mamicode.com/info-detail-185122.html 转载于:https://www.cnblogs.com/man-li/p/7094026.html
  • 日志 Go 的标准记录器相当有限。... 我只是想让它处理不同的日志级别,并且能够将简单的日志写入stderr 、本地文件、 syslog和 Windows 事件日志。 所以,这里还有一个 Go 的日志库。 他们中最笨的。 享受。
  • Windows日志文件

    2010-07-09 18:52:00
    日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保 护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全...
  • Windows服务器的系统盘如果是2003系统的话那么我们默认给10G的空间就够了,但是有时候我们不经意去查看系统盘的时候发现已经使用了9.9G,其实多是垃圾日志文件占用系统盘空间,使用如下批处理将这些文件删除。...
  • 我们以收集一款收费软件引起windows系统蓝屏为例子,进行讲解。 常规报错需收集日志信息:1、计费服务端日志:服务端安装目录下手动创建wxlog和wxpluglog两个文件夹,分别获取计费日志及插件日志。若网吧之前已经...
  • Windows系统日志分析 一、前言 本文将对常见的日志类型,利用微软日志分析工具(LogParser)结合已经掌握的恶意代码分析Windows系统日志,关联出系统的异常。 数据来源于Windows的事件查看器中的*.evtx文件,...
  • windows日志文件

    2010-07-15 10:24:00
    windows2000 xp 2003 都有应用程序,安全 和系统事件服务器   域控制器的系统还有文件复制,和目录服事件日志   处理文件时 有术语 幻数(Magic Number)特指文件内一系列特殊的字节,...
  • 最近在做一个网站,2D小说网,就是利用爬取的方法将小说免费展示出来,因为是自动采集的,所以每天都产生了大量的日志文件,每一个日志文件都占据2M的空间,因此一天下来多的话几百个日志文件,一天就把空间给占满了...
  • 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出的日志难以实现格式化输出,微软的resource kit工具包中有一个免费的查看本地或远程日志的小工具dumpel.exe,利用它可以把日志存为文本文件以备后需...
  • 打开事件查看器命令:eventvwr 在开始菜单——运行——输入eventvwr就会出现 https://blog.csdn.net/Z_Grant/article/details/90673282 ... 详细的日志参考...
  • Windows 系统下json 格式的日志文件发送到elasticsearch配置 Nxlog-->logstash-->ElasticSearch Logstash https://www.elastic.co/guide/en/logstash/current/codec-plugins.html Elasticsearch ...
  • 问题现象:“磁盘上的文件系统结构已损坏,不能使用。 请在卷 \Device\...解决:1、使用“管理员运行”打开“运行”,确保有权限执行命令操作使用日志提示命令“chkdsk”修复命令,进行系统修复。查看chkdsk命...
  • 一、应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32/config,默认文件大小512KB,管理员都会改变这...2、系统日志文件:%systemroot%/system32/config/SysEvent.EVT 3、应用程序日志文件
  • 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。
  • 监控日志是在测试和维护时不可缺少的动作,在linux下的tail -f xx.log十分方便,Windows下没找到系统中的更好的办法,不过有一个软件Tail for Win32 使用也可以达到Linux下类似的效果,安装软件之后点击桌面快捷方式...
  • 使用dumpel定期导出windows系统日志

    千次阅读 2010-12-02 16:29:32
    1、windows系统日志的存储: windows的系统日志存储在C:\WINDOWS\system32\config目录,文件后缀为evt。 2、导出工具: 使用dumpel.exe可以导出windows的系统日志。 dumpel.exe可以去微软官网下载,地址:...
  • Windows事件日志消息(WELM)工具检索嵌入在二进制文件中的Windows事件日志消息的定义。 该工具的输出可用于为操作系统创建事件信息的详尽列表。 该工具最初是为了帮助编写“ 论文而开发的,但已证明在许多情况下很...
  • python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站...
  • 查看evt文件( windows 日志文件 )

    千次阅读 2015-03-14 13:23:09
    如:C:\WINDOWS\system32\config中各种日志文件: 打开开始菜单->运行,输入Eventvwr.msc或开始->控制面版->管理工具->事件查看器,然后点操作,找到*.evt文件打开即可。 打开的时候需要选择日志类型,比如系统...
  • 下面来给大家讲解下以美国服务器的linux系统为例的查看linux系统日志文件介绍。 /var/log/lastlog : 记录每个使用者最近签入系统的时间, 因此当使用者签入时, 就会显示其上次签入的时间, 您应该注意一下这个时间, ...
  • : 为限制 Nginx日志文件大小增加,文件过大,导致无法收缩日志,在配置好的nginx的安装目录下,可以采用批处理文件对日志,根据实际需要的时间进行自动切割,本脚本以天为单位进行保存。对于日志备份功能,因存储...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,169
精华内容 1,667
关键字:

windows系统日志文件