实验四:读取操作系统审计日志
实验目的:
1.了解操作系统的日志意义,存储,读取。
2.编程(c、c++、c#语言)实现操作系统日志信息的读取
实验设备:
安装 Windows 2000/2003/XP 或更高级别的 Windows 操作系统的
主机。
所用软件:
Visual Studio.Net
实验步骤:
1.了解操作系统的日志意义,存储,读取
以 Windows2000/XP 为例,日志文件通常有应用程序日志,安全日志、
系统日志、DNS 服务器日志、FTP 日志、WWW 日志等等。 日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS 日志默认位置:%sys temroot%\sys
tem32\config,默认文件大小 512KB,管理员都会改变这个默认大小。
安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT
系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT
应用程序日志:%sys temroot%\sys tem32\config\AppEvent.EVT
Internet 信息服务 FTP 日志默认位置:%sys temroot%\sys
tem32\logfiles\msftpsvc1\
默认每天一个日志 Internet 信息服务 WWW 日志默认位置:%sys
temroot%\sys tem32\logfiles\w3svc1\
默认每天一个日志 Scheduler 服务日志默认位置:%sys
temroot%\schedlgu.txt
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS 服务器日志,它们这些 LOG
文件在注册表中的位置:
HKEY_LOCAL_MACHINE\sys
tem\CurrentControlSet\Services\Eventlog