如何利用日志分析抵制外部入侵

核心提示： 日志文件的移位保护 通过上面的几个方法，大家应该可以检测普通的系统攻击了，如何利用日志分析抵制外部入侵(5)，但话说回来，如果上面的攻击任何一个成功了，通过日志来发现系统漏洞、追踪入侵者就简单很多了，希望此文能抛砖引玉，那现在我们都看不到日志了，早被入侵者清空了

日志文件的移位保护

通过上面的几个方法，大家应该可以检测普通的系统攻击了，但话说回来，如果上面的攻击任何一个成功了，那现在我们都看不到日志了，早被入侵者清空了，所以，为了防患于未然，我们还是针对常见的删除日志的方法，把日志挪挪吧。

好多文章介绍对事件日志移位能做到对系统系统很好的保护，移位虽是一种保护方法，但只要在命令行输入dir c:*.evt/s，一下就可查找到事件日志位置，再删除可容易了，那怎么办呢？其实日志移位要通过修改注册表来完成，找到注册表 HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesEventlog下面的Application、Security、System几个子键，分别对应“应用程序日志”、“安全日志”、 “系统日志”。如何修改呢？下面我们具体来看看Application子键：File项就是“应用程序日志”文件存放的位置，把此键值改为要存放日志文件的文件夹，我们再把%systemroot%system32configappevent.evt文件拷贝到此文件夹，再重启机器就可以了。

在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性，如果不移位也无法对文件进行安全设置操作，右击移位后的“文件夹选择属性”，进入“安全”选项卡，不选择“允许将来自父系的可继承权限传播给该对象”，添加“System”组，分别给Everyone组“读取”权限，System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小，如20MB。进行了上面的设置后，直接通过Del C:*.Evt/s/q来删除是删不掉的，相对要安全很多了。

通过上面的几个实际的例子，相信大家都应该具备分析普通入侵日志的能力了，再结合一定的实际经验，通过日志来发现系统漏洞、追踪入侵者就简单很多了。希望此文能抛砖引玉，给大家带来一些帮助。