Chinaunix首页 | 论坛 | 博客
  • 博客访问: 914657
  • 博文数量: 148
  • 博客积分: 10010
  • 博客等级: 上将
  • 技术积分: 3920
  • 用 户 组: 普通用户
  • 注册时间: 2007-06-30 18:17
文章分类

全部博文(148)

文章存档

2008年(148)

我的朋友

分类:

2008-06-29 18:17:20

善用日志 让网络故障解决效率更快一些

 

任何一台安装了系统的工作站或,在缺省状态下会对在系统中进行的各种操作事件进行自动记录,同时会将记录下来的内容自动到系统中的相关日志文件中;一旦普通工作站或系 统遇到网络故障时,网络管理员可以尝试从系统的日志文件中寻找与网络故障相关的蛛丝马迹,从而为快速解决网络故障提供应对依据。然而很多时候,不少网络管 理员常常会忽略日志文件的存在,以致于在网络故障排除过程中多走了许多弯路;事实上,善用系统中的各种日志文件,我们可以让网络故障解决效率变得快点、快 点、再快一点!

    撩开日志文件面纱

    日志文件,其实是普通工作站或服务器系统中的一个非常特殊的系统文件,它在默认状态下将会把在本地工作站或服务器中发生的一切操作行为记录下来,包括各种 网络访问操作在内,比方说拨号上网连接请求操作,系统服务的关闭、启用操作,DHCP服务器为工作站或服务器分配IP地址的操作等;当然,对于一些特殊的 应用程序来说,它们都有各自的日志文件,这些文件也会自动记录对应应用程序的相关操作行为,例如QQ、MSN Messenger等,它们的日志文件一般都是log格式或txt格式的纯文本文件。

    系统的日志文件主要包含三种类型,第一种是系统日志文件,第二种是安全日 志文件,第三种是应用程序日志文件,这三个日志文件在默认状态下都会被自动保存在Windows系统安装目录下的“system32\config”文件 夹中,并且它们默认的大小都为512KB,当然它们的位置我们也可以通过合适的设置,将它们调整到系统分区以外的磁盘分区中,以便有效宝贵的系统分区空间 资源。对应这三个日志文件的名称一般为sysevent.evt、secevent.evt、appevent.evt,我们可以直接在系统的运行对话框 中执行字符串命令“%systemroot%\system32\config”,就能在其后弹出的文件夹窗口中看到这三个日志文件的“身影”了。

    有一点需要提醒各位注意的是,对于服务器系统来说,除了上面三种类型的日志文件来说,还会存在WWW、FTP、Scheduler服务等类型的日志文件, 这些日志文件一般全部都处于Event Log服务的保护之下,而不允许被用户随意删除,不过其中的内容能够被用户清空。

查看日志文件内容

    直接使用记事本之类的应用程序是无法直接打开上面三个日志文件的,我们需要通过专门的方法才能看到其中的日志内容。在查看某一类型日志文件中的具体内容时,我们可以按照如下步骤来进行:

    首先打开系统的“开始”菜单,从中依次点选“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“管理工具”图标,打开本地系统的管理工具列表窗口;从中找到“事件查看器”图标,并用鼠标双击该图标,打开如所示的事件查看器窗口。

   


    
    在该窗口的左侧显示区域,我们可以看到本地系统中包含的日志文件类型,例如系统日志文件、安全日志文件以及应用程序日志文件等。

    要对某个日志文件中的具体内容进行查看时,其实也很简单,我们只要在图1界面的左侧列表中选中目标日志文件类型,在对应该类型日志文件的右侧列表区域中,用鼠标双击其中的某个记录选项,打开如所示的事件属性设置窗口。

   


    
    从该设置窗口中我们能够非常清楚地看到对应记录的具体信息,如此一来我们就能直观地了解到本地工作站或服务器系统究竟发生了什么事情。

    之前,本文曾经提到各种类型的日志文件是不允许被删除的,但都能够被清空。要清空其中的日志内容,我们可以先用鼠标右键单击事件查看器窗口左侧显示区域中 的某种类型的日志文件,从弹出的快捷菜单中执行“清除所有事件”命令,就能将指定类型的日志文件全部清空了。除此而外,我们还能将日志文件中的内容导出成 为普通的txt格式文件或csv格式的文件。

    许多时候,一些非法攻击者常常会想方设法地清空工作站或服务器系统中的日志文件,以便及时将它们入侵目标工作站或服务器系统的各种证据全部毁灭掉,如此一 来网络管理员就不能从系统的各种日志文件中,快速找到网络故障的根源或者系统存在的安全隐患了。事实上,系统的日志文件中可能会清楚地记录下,究竟是哪个 IP地址、在什么时候对本地系统进行了什么攻击行为,网络管理员只有全力以赴地保护好系统的各种日志文件,才能有效地使用日志文件来提升网络故障的解决效 率。

备份转移日志文件

    由于一些精明的非法攻击者都知道各种日志文件默认的保存位置,他们常常会利用专业工具来对系统中的目标日志文件进行修改,以便将攻击过程中遗留下来的“痕 迹”抹除干净,那样的话网络管理员就无法及时知道目标系统存在安全隐患或网络故障的原因了,为此我们有必要对日志文件的保存位置进行一下修改,同时采取适 当措施保护日志文件的安全。

    首先我们可以将日志文件转移到其他位置处,让非法攻击者找不到日志文件。在转移日志文件之前,我们先要找到默认位置处的日志文件;由于Windows系统安装路径不同,系统日志文件的保存位置也不同,在寻找日志文件默认位置时,我们不妨在所示的事件查看器窗口中。

   

    
    用鼠标右键单击其中的某种类型日志文件,并执行快捷菜单中的“属性”命令,打开如所示的属性设置窗口。
    
   


    
    在这里我们会发现系统日志文件的保存位置为“C:\WINDOWS\system32\config\SysEvent.Evt”;同样地,我们还能找出 安全日志文件的保存位置为“C:\WINDOWS\System32\config\SecEvent.Evt”,应用程序日志文件的保存位置为“C:\ WINDOWS\system32\config\AppEvent.Evt”。

    找到各种日志文件的默认保存位置后,我们假设需要将它们转移到F:\backup目录中时,可以先将上面的三个文件全部拷贝到F:\backup目录中, 之后修改系统注册表,以便做好系统与日志文件的关联。在拷贝各种类型的日志文件时,我们只要先进入本地系统的资源管理器窗口,并进入到日志文件的原始目录 窗口,比方说我们在这里只要打开“C:\WINDOWS\System32\config”目录窗口就可以了。

    接着选中该窗口中的“SysEvent.Evt”、“SecEvent.Evt”、“AppEvent.Evt”这三个文件,并用鼠标右键单击处于选中状 态的文件,从弹出的快捷菜单中执行“复制”命令;下面再打开新目录窗口,在这里我们只要打开“F:\backup”目录窗口就可以了,然后在该窗口的空白 位置处单击鼠标右键,并执行快捷菜单中的“粘贴”命令,这样一来服务器系统的三个日志文件就全部被拷贝到新目录窗口中了。

    下面我们要修改日志文件的关联设置。在进行这项设置操作时,我们可以依次单击服务器系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,输入 注册表编辑命令“regedit”,单击回车键后,打开系统的注册表编辑窗口;在该编辑窗口的左侧列表区域,用鼠标双击 “HKEY_LOCAL_MACHINE”注册表子键,在随后展开的注册表分支下面依次选择“SYSTEM”、“CurrentControlSet”、 “Services”、“Eventlog”项目,在对应“Eventlog”项目下面我们会看到“System”、“Security”、 “Application”这三个选项,其实它们分别对应了服务器系统的系统日志文件、安全日志文件以及应用程序日志文件;

    现在我们以修改系统日志文件关联为例,来向各位介绍一下日志文件关联设置的修改方法;在对应“System”注册表项目的右侧显示区域中,用鼠标双击 “File”键值,在其后弹出的数值设置对话框中,将“F:\backup\SysEvent.Evt”字符串内容拷贝到“数值数据”文本框中,最后单击 “确定”按钮;同样地,我们可以将“Security”、“Application”下面的“File”键值依次修改为“F:\backup\ SecEvent.Evt”、“F:\backup\AppEvent.Evt”,最后重新启动一下本地系统,就能使各种类型的日志文件关联设置生效了。

    完成了日志文件存放位置的转移任务后,日志文件中的内容还是可以被清空的;此时,我们不妨通过修改日志文件的访问权限,来制止非法攻击者企图毁灭证据的事情发生,当然这需要日志文件处于NTFS格式的磁盘分区中才行。

    例如,我们可以用鼠标右键单击“F:\backup”目录,从弹出的快捷菜单中选择“属性”选项,打开对应目录的属性设置窗口;单击该设置窗口中的“安 全”标签,并将对应标签页面中的“允许将来自父系的可继承权限传播给该对象”选中状态取消,同时从“组或用户名称”列表框中选中everyone帐号,并 将该帐号的访问权限设置为“读取”。

    紧接着,单击“添加”按钮,将system帐号添加到“组或用户名称”列表框中,再将system帐号的访问权限依次设置为“读取”、“写入”、“读取和 运行”,最后单击“确定”按钮完成“F:\backup”目录的访问权限设置操作。如此一来,当有非法攻击者企图清空本地系统中的日志文件时,系统将会自 动出现错误对话框。

善用日志解决故障

    现在,我们就从实践角度出发,来为各位朋友详细介绍如何巧妙使用系统自带的日志文件,来高效、快捷地解决网络故障,从而有效地提高网络管理效率。

    1、寻找无法上网访问原因

    在组网规模相对大一些的局域网环境中,网络管理员常常会考虑使用DHCP服务器来为局域网中的每一台工作站来自动分配IP地址,以便提高地址分配效率。要 是普通工作站无法从DHCP服务器那里获得有效的IP地址时,Windows系统将会自动使用一个内部的静态保留地址分配给普通工作站,同时会在系统的日 志文件中产生一个ID标识号码为1007的事件记录。

    日后我们发现普通工作站不能上网访问时,不妨打开本地系统的事件查看器窗口,从中找到系统日志文件,并仔细查看该日志文件中是否存在一个ID标识号码为 1007的事件记录,要是我们看到了该事件记录,那么我们就能确认本地工作站系统无法从局域网的DHCP服务器那里得到有效的IP地址,此时我们应该重点 检查局域网中的DHCP服务器工作状态是否正常;在确认DHCP服务器工作状态正常的前提下,我们就需要仔细检查普通工作站与DHCP服务器之间的物理连 接是否畅通,相信这么一来我们就能很快解决无法上网访问的故障现象了。

    2、寻找网络登录失败原因

    对于QQ、MSN Messenger之类的应用程序来说,它们都有自己的日志文件,来记录对应应用程序的网络连接问题,我们可以巧妙地利用这种类型的日志文件来寻找网络登录失败原因。

    例如,要是我们在登录QQ时遇到了登录失败提示时,可以单击提示窗口中的“详细信息”按钮,从其后的信息提示中我们发现QQ应用程序在尝试着与多个TCP 服务器或UDP服务器进行连接,不过每个连接都显示为域名解析不成功,从而引起登录失败故障;此时,我们再单击提示窗口中的“疑难解决”按钮,随后QQ程 序就会自动对网络连接进行诊断,根据诊断过程,我们能够判断出IP地址的测试是否能够通过,默认网关的检测是否通过;如果显示默认网关无法通过检测时,那 多半是本地工作站与网关之间的物理连接出现了问题,此时我们可以重点对本地工作站的物理连通性进行检查,相信这么一来网络登录失败的故障现象就能快速被解 决了。

阅读(1213) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2008-11-12 23:40:42

请问楼主,事件查看器无法记录msn messenger 登录是怎么回事,以前是可以查看的,最后一次退出的时候,事件查看器中多了几行crypt32。以后就再也不能记录了。