[科普中国]-服务器日志

服务器日志（server log）是一个或多个由服务器自动创建和维护的日志文件，其中包含其所执行活动的列表。

服务器日志的典型例子是网页服务器的日志，其中包含页面请求的历史记录。W3C维护有一个网页服务器日志文件的标准格式——通用日志格式，但亦有其他专有格式存在。近年来的日志文件通常将内容附加到文件的结尾。添加的信息有关请求，包括客户端IP地址、请求日期/时间、请求的网页、HTTP代码、提供的字节数、用户代理、引用地址等。这些数据可能写入在一个文件中，也可能分隔成不同的日志，如访问日志、错误日志、引荐者日志等。但是，服务器日志通常不会收集特定用户的信息。

简介服务器的日记就是记录网站被访问的全过程，什么时间到什么时间有哪些人来过，什么搜索引擎来过，有没有收录你的网页。从你的网站工作的第一天你的日记就有了。

如何查看自己的服务器的日记? （以windows 2003系统为例）

1、开始－－管理工具－－事件查看器－－系统 或者 控制面板－－管理工具－－事件查看器－－系统。

2、在远程客户端，运行IE浏览器，在地址栏中输入“https://Win2003服务器IP地址:8098”，如“https://192.168.1.1:8098”。在弹出的登录对话框中输入管理员的。

用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入。到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除windows 2003服务器日志。选择系统日志可进行查看。并且在日志管理页面中可列出windows 2003服务器。的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。

基于文件服务器日志的测试用例文件系统中的服务器日志详细记录了用户操作文件的各种信息，但是在性能测试中测试用例的设计中很少用到日志信息。当前使用日志进行信息挖掘的主要集中在，Web日志领域，其他应用领域也开始有人进行研究。比如针对邮件病毒研究邮件服务器日志的文章我们当前面对的是一个产品全生命周期管理系统，PLM，主要是对其中的文件系统进行性能测试，如何针对系统设计出好的测试用例，参考使用国际上已经公认的测试标准，可以节省时间，测试的结果也比较公证，但是直接使用国际标准存在很多问题，比如其中的测试集和配置环境与我们的系统相差很大，不符合系统实际情况的使用。

文件服务器日志挖掘分析

日志挖掘就是运用数据挖掘的思想来对服务器日志进行分析处理，日志挖掘与传统数据挖掘的区别在于数据源不同日志挖掘的对象通常是服务器的日志信息，而传统数据挖掘的对象多为数据库，本文中文件服务器日志数据挖掘的目标是以分析系统性能和改进系统设计为目标。对文件服务器日志数据挖掘用到的技术主要有，3个步骤，数据预处理，模式发现和模式分析。1

网站服务器日志文件的保护一旦黑客入侵服务器成功。要做的第一件事就是删除你的日志文件．使你在被入侵后无法追踪黑客行为，以及检查黑客所做的操作行为。日志文件就像飞机中的。黑匣子”一样重要．因为里面保存着黑客入侵行为的所有罪证。那么网管要怎么才能有效地避免黑客人侵后删除系统的日志文件呢?笔者通过多年的网管员经验。总结了几种方法，经过多次的测试．确保服务器日志文件的安全。

日志的移位与保护WiIldows 2000的系统日志文件包括：应用程序日志、安全日志、系统日志、DNS服务日志，以及F．IP连接日志和HTI'PD日志等。在默认情况下日志文件大小为512KB，日志保存的默认的位置如下：

安全日志文件：%systemroot%\system32\config\SecEvent.EVT

系统日志文件：%systemroot%\system32\config\SecEvent.EVT

应用程序日志文件：%systemroot%\system32\config\APPEvent.EVT

FTP连接日志和HTTPD事务日志：%systemroot%\system32\logFiles\,下面还有子文件夹，分别对应该FTP和Web服务的日志。其对应的后缀名为.Log。在此笔者把系统默认为．EvT扩展名的日志文件统称为事件日志。好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法，但只要在命令行输入dir c:\*.evt/s(如系统安装在D盘。则盘符为D)，一下就可查找到事件日志位置。日志移位要通过修改注册表来完成，我们找到注册表HKEY.LOCAL__MACHINEXSYSTEM\Current ControlSet\Services\Evendog位置。下面的Application、Security、System几个子键。分别对应“应用程序日志””安全日志”系统日志”。如何修改注册表。下面我们来看看Application子键：

File项就是“应用程序日志”文件存放的位置。把此键值改为我们要存放日志文件的文件夹．然后再%systemroot%\system32\config\APPEvent.EVT文件拷贝到此文件夹，再重启机器。在此介绍移位的目的是为了充分利用Windows 2000在NTFs格式下的“安全”属性。如果不移位也无法对文件进行安全设置操作，右击移位后的文件夹选择“属性”，进入“安全”选项卡．不选择“允许将来自父系的可继承权限传播给该对象”，添加“System”组，分别给Everyone组“读取”权限，System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小。如20MB。

进行了上面的设置后，再直接通过Del C：托Evffdq来删除是删不掉的：对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。

日志文件的备份基于WMI技术的日志备份脚本

WMI(Windows Management Instnunentafion)技术是微软提供的Windows下的系统管理工具。基于WMI开发的脚本均可在Windows 2000，NT上成功运行。微软提供了一个脚本，利用WMI将日志文件大小设为25MB，并允许13志自动覆盖14天前的日志。

我们只需把该脚本保存为．vbs扩展名的文件就可以使用。我们还可以修改上面的脚本来备份日志文件，笔者在此建议。在备份日志时一定将EⅥ’的后缀名改为其他后缀保存(如．C)，目的是让攻击者不易找到。2

本词条内容贡献者为:

李嘉骞 - 博士 - 同济大学