修改系统日志路径,确保记录安全。
在今天的网络中,互联网的主要工作是防止黑客入侵。只有两个结果。一是黑客在我们严格的三维防守中失败。另一个是黑客已经进入了我们的系统,那么它对我们改变了什么呢?你造成了什么伤害?经验丰富的网络管理员可以通过日志文件了解线索,收集与安全相关的网络入侵证据(如相关证据)IP地址、登录账号等信息)。
同样,智能黑客也会使用工具或手动清除所有日志(俗称擦脚印或PP等等。)撤离或伪造假日志。因此,我们必须小心保护日志文件。一种可行而简单的方法是移动日志文件,并将其默认路径改为意想不到的地方。
首先,检查默认日志路径
依次打开控制面板\管理工具\计算机管理,在左窗选择事件查看器,以下三项:应用、安全、系统。IT八哥网(http://www.it8g.com)以第一个“应用”例如,单击右键并选择。“属性”。Windows2000默认日志存储路径显示在“日志名称”中间,并有以下字样:C:\ win nt \ system32 \ config \ app event . evt。其他两个事件也是如此。
接下来,用户将在D在磁盘上设置一系列深储新的日志文件,如D:\01\02\03\04\05\06\07。命名的原则是“越不显眼越好”。
其次,更改系统注册表
点击“开始\运行”,输入“regedit”,回车打开注册表编辑器。HKEY _本地_机器\系统\当前控制集\服务\三个日志都在事件日志下面。再次以应用为例。“应用程序”后来,右窗有个名字叫“文件”的项目。它的原始数据是“% systemroot % \ system32 \ config \ app event . evt”,这是系统的默认路径和文件名称。双击它,将其值改为弹出窗口“D: \ 01 \ 02 \ 03 \ 04 \ 05 \ 06 \ 07 \ app event . evt”,以此类推,然后将Security和System下的“file”键分别改为“D:\ 01 \ 02 \ 03。
转到c:\wint\system32\config文件夹,将三个日志文件appenvet.evt、secevent.evt和sysevent.evt复制粘贴新路径d:\01\02\03\04\05\06\07中间。重新启动机器,然后将日志文件的属性转移到事件检查器窗口,发现路径名已更改。
到目前为止,结合安装在系统中的防火墙、件和木马检测软件,得到了保护。尽管日志文件
移动不能达到完全保护的目的,但足以让偷窥者和感兴趣的朋友挠头。