服務器日誌清理及IIS日誌的清理

首先介紹下日誌的默認位置,只有咱們知道了咱們在服務器上留下的痕跡,才能擦除咱們在計算機中留下的痕跡,而日誌就是咱們留下痕跡的位置所在.
安全日誌文件:C:\WINDOWS\system32\config\SecEvent.Evt
系統日誌文件:C:\WINDOWS\system32\config\SysEvent.Evt
應用程序日誌文件:C:\WINDOWS\system32\config\AppEvent.Evt
FTP日誌默認位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
WWW日誌默認位置:C:\WINDOWS\system32\Logfiles\W3SVC1
然而這些日誌在系統正常運行的時候是不能被刪除的.FTP和WWW服務能夠先把這2個服務中止掉,而後再刪除日誌文件,可是安全,系統和應用程序的日誌守護服務Event Log 是沒有辦法中止的.那麼有須要怎麼清理呢?
由於手工這一步有這種困難很差進行.因此咱們能夠利用工具.這裏我給你們講的用到的工具是CL.這個工具能夠清理IIS日誌.FTP日誌`.計劃任務日誌.系統日誌.清理服務日誌只須要執行
CL工具的清理命令
清理服務日誌:cl -logfiles 127.0.0.1 (程序自動先把FTP.WWW.Task Scheduler服務中止再刪除日誌,而後再啓動三個服務.)
清理系統日誌:cl -enentlog all
此工具支持遠程清理,固然前提必須是創建了管理員權限的IPC管理鏈接.
鏈接命令:net use \\ip\ipc$ 密碼/user:用戶名
而後用CL -LogFile IP對主機進行遠程清理了.
============================================================================
對於IIS日誌的清理
目前對於網站的***方式主要是注入,而後再提權拿下服務器,這樣主要的日誌痕跡都留在了IIS日誌裏,因此只須要把咱們在IIS日誌中的IP地址清楚掉就能夠了.這樣清理的話更不會讓對方管理員起疑心.那麼真的要咱們把IIS服務停掉,而後用記事本打開日誌文件一點一點改嗎?固然不是了.只須要使用CleanIISLog工具就能夠輕鬆搞定了.
CleanIISLog工具的用法:在CMD中執行CleanIISLog . IP地址就能夠清楚全部IIS日誌中有關IP的鏈接記錄了,保留其它IP記錄
當清楚成功後,CleanIISLog會在系統日誌中將自己的運行記錄清楚.若是IIS的日誌文件不是默認的話,能夠執行CleanIISLog IIS日誌路徑 服務器IP地址 來指定IIS日誌的路徑.注意:此工具只能在本地運行,並且必須具備Administrators權限.
原文出自:http://os.51cto.com/art/201111/302891.htm安全

相關文章
相關標籤/搜索