window计算机日志分析详解,windows系统日志分析

一、Windows日志文件的保护

日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

1． 修改日志文件存放目录

Windows日志文件默认路径是“%systSEO靠我emroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。

点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKSEO靠我EY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应SEO靠我应用程序日志、安全日志、系统日志。

笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项(如图)，在右栏中找到File键，其键值为应用程序日志文件的路径“%SysteSEO靠我mRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启SEO靠我动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作，或建立一系列深目录以存放新日志文件，如D:\01\02\03\04\05\06\07，起名的原则就SEO靠我是要“越不起眼，越好”。

2． 设置文件访问权限

修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。

右键SEO靠我点击D