写篇简单易懂的文章给大家看,其实有很多工具都有这个功能,但那些软件只能删些默认 的,而且可能会删不了,真正的还是要靠自己手工删了.文章可能有错误,请指教,此文也参 考了gouy2k的一篇文章,同时配合实例讲解. Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志, DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不 同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如 果不了解这个,可能会留下更多的记录。 这次只谈清除FTP。IIS应用程序日志,smtp服务器日志,系统日志这些一般日志的命令行 下的删除方法.
(1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下
为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ ,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 331, 0, [3]USER, anonymous, -, 192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0 , 53 0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一:> 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开
.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清 了,别忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三
最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默 认每天一个日志 注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
01-09-18 08:00a 70,918 ex010917.log
01-09-19 08:00a 3,243,955 ex010918.log
01-09-19 10:25p 2,686,976 ex010919.log
01-09-20 10:00a 327,680 ex010920.log
此时看看文件内容: type c:\winnt\sys tem32\logfiles\w3svc1\ex010920.log
01:26:17 127.74.36.149 GET /c/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.74.36.149 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.74.36.149 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.208.246.13 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
exe 404
01:26:17 127.208.246.13 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
......................
shit ,全是CGI漏洞的扫描
法一:> 这个时侯 net stop w3svc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START w3svc 把服务打开.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清
了,别忘了把时间改 回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三
最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具.
(4) SMTP日志
smtp服务日志默认位置:%sys temroot%\sys tem32\logfiles\smtpsvc1\
目录:
01-06-01 08:12a SMTPSVC1
该目录下的文件行式:
01-05-15 12:21a 371 ex010513.log
01-05-16 03:52a 257 ex010514.log
01-05-16 09:09a 182 ex010515.log
01-05-17 04:14p 893 ex010516.log
01-05-18 09:22a 263 ex010517.log
01-05-21 09:09a 293 ex010518.log
01-06-01 08:12a 8,222 ex010531.log
01-06-05 01:37p 3,099 ex010601.log
该文件ex010601.log的内容:
00:58:24 202.104.112.168 QUIT - 0
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 QUIT - 0
00:59:51 202.104.112.168 MAIL FROM - 250
00:59:51 202.104.112.168 RCPT TO - 250
00:59:54 202.104.112.168 QUIT - 0
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
删除方法:
法一:> 此时可以 net stop smtpsvc
再 del .............
别忘了 net start smtpsvc
当然改文件内容也是可以的喽!
(5) eventlog日志文件
它包含: 安全日志
统日志
应用程序日志
题外话: 看看应用程序日志,觉得记录得很详细.
NT/2000下删日志的方法
写篇简单易懂的文章给大家看,其实有很多工具都有这个功能,但那些软件只能删些默认 的,而且可能会删不了,真正的还是要靠自己手工删了.文章可能有错误,请指教,此文也参 考了gouy2k的一篇文章,同时配合实例讲解. Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志, DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不 同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如 果不了解这个,可能会留下更多的记录。 这次只谈清除FTP。IIS应用程序日志,smtp服务器日志,系统日志这些一般日志的命令行 下的删除方法.
(1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下
为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ ,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 331, 0, [3]USER, anonymous, -, 192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0 , 53 0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一:> 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开
.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清 了,别忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三
最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默 认每天一个日志 注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
01-09-18 08:00a 70,918 ex010917.log
01-09-19 08:00a 3,243,955 ex010918.log
01-09-19 10:25p 2,686,976 ex010919.log
01-09-20 10:00a 327,680 ex010920.log
此时看看文件内容: type c:\winnt\sys tem32\logfiles\w3svc1\ex010920.log
01:26:17 127.74.36.149 GET /c/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.74.36.149 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.74.36.149 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.208.246.13 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
exe 404
01:26:17 127.208.246.13 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
......................
shit ,全是CGI漏洞的扫描
法一:> 这个时侯 net stop w3svc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START w3svc 把服务打开.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清
了,别忘了把时间改 回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具.
(4) SMTP日志
smtp服务日志默认位置:%sys temroot%\sys tem32\logfiles\smtpsvc1\
目录:
01-06-01 08:12a SMTPSVC1
该目录下的文件行式:
01-05-15 12:21a 371 ex010513.log
01-05-16 03:52a 257 ex010514.log
01-05-16 09:09a 182 ex010515.log
01-05-17 04:14p 893 ex010516.log
01-05-18 09:22a 263 ex010517.log
01-05-21 09:09a 293 ex010518.log
01-06-01 08:12a 8,222 ex010531.log
01-06-05 01:37p 3,099 ex010601.log
该文件ex010601.log的内容:
00:58:24 202.104.112.168 QUIT - 0
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 QUIT - 0
00:59:51 202.104.112.168 MAIL FROM - 250
00:59:51 202.104.112.168 RCPT TO - 250
00:59:54 202.104.112.168 QUIT - 0
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
删除方法:
法一:> 此时可以 net stop smtpsvc
再 del .............
别忘了 net start smtpsvc
当然改文件内容也是可以的喽!
(5) eventlog日志文件
它包含: 安全日志
统日志
应用程序日志
题外话: 看看应用程序日志,觉得记录得很详细.
象这样: 外壳意外停止并且Explorer.exe被重新启动。
Detection of product '{00000804-78E1-11D2-B60F-006097C998E7}', feature 'TCWo rd2Files' failed during request for component '' 它是关键服务。如果不用第三方工具,在命令行上几乎没有删除安全日志和系统日志的 可能,(至少我还没想 出来)所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具 ”中的 “事件查看器” (98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台 计算机”的菜单,点击它: 输入远程计算机的IP,等,然后选择远程计算机的安全性日志,右键选择它的属性,点击 属性里的“清除日志” 按钮,等啊等啊等.......OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!
(1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下
为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ ,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 331, 0, [3]USER, anonymous, -, 192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0 , 53 0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一:> 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开
.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清 了,别忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三
最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默 认每天一个日志 注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
01-09-18 08:00a 70,918 ex010917.log
01-09-19 08:00a 3,243,955 ex010918.log
01-09-19 10:25p 2,686,976 ex010919.log
01-09-20 10:00a 327,680 ex010920.log
此时看看文件内容: type c:\winnt\sys tem32\logfiles\w3svc1\ex010920.log
01:26:17 127.74.36.149 GET /c/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.74.36.149 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.74.36.149 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.208.246.13 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
exe 404
01:26:17 127.208.246.13 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
......................
shit ,全是CGI漏洞的扫描
法一:> 这个时侯 net stop w3svc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START w3svc 把服务打开.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清
了,别忘了把时间改 回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三
最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具.
(4) SMTP日志
smtp服务日志默认位置:%sys temroot%\sys tem32\logfiles\smtpsvc1\
目录:
01-06-01 08:12a SMTPSVC1
该目录下的文件行式:
01-05-15 12:21a 371 ex010513.log
01-05-16 03:52a 257 ex010514.log
01-05-16 09:09a 182 ex010515.log
01-05-17 04:14p 893 ex010516.log
01-05-18 09:22a 263 ex010517.log
01-05-21 09:09a 293 ex010518.log
01-06-01 08:12a 8,222 ex010531.log
01-06-05 01:37p 3,099 ex010601.log
该文件ex010601.log的内容:
00:58:24 202.104.112.168 QUIT - 0
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 QUIT - 0
00:59:51 202.104.112.168 MAIL FROM - 250
00:59:51 202.104.112.168 RCPT TO - 250
00:59:54 202.104.112.168 QUIT - 0
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
删除方法:
法一:> 此时可以 net stop smtpsvc
再 del .............
别忘了 net start smtpsvc
当然改文件内容也是可以的喽!
(5) eventlog日志文件
它包含: 安全日志
统日志
应用程序日志
题外话: 看看应用程序日志,觉得记录得很详细.
NT/2000下删日志的方法
写篇简单易懂的文章给大家看,其实有很多工具都有这个功能,但那些软件只能删些默认 的,而且可能会删不了,真正的还是要靠自己手工删了.文章可能有错误,请指教,此文也参 考了gouy2k的一篇文章,同时配合实例讲解. Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志, DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不 同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如 果不了解这个,可能会留下更多的记录。 这次只谈清除FTP。IIS应用程序日志,smtp服务器日志,系统日志这些一般日志的命令行 下的删除方法.
(1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下
为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ ,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 331, 0, [3]USER, anonymous, -, 192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0 , 53 0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一:> 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开
.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清 了,别忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三
最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默 认每天一个日志 注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
01-09-18 08:00a 70,918 ex010917.log
01-09-19 08:00a 3,243,955 ex010918.log
01-09-19 10:25p 2,686,976 ex010919.log
01-09-20 10:00a 327,680 ex010920.log
此时看看文件内容: type c:\winnt\sys tem32\logfiles\w3svc1\ex010920.log
01:26:17 127.74.36.149 GET /c/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.74.36.149 GET /d/winnt/sys tem32/cmd.exe 404
01:26:17 127.37.88.60 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32/
cmd.e
xe 404
01:26:17 127.208.246.13 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.74.36.149 GET /scripts/..%5c../winnt/sys tem32/cmd.exe 403
01:26:17 127.208.246.13 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
exe 404
01:26:17 127.208.246.13 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem3
2/cmd
.exe 404
01:26:17 127.74.36.149 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/sys tem32
/cmd.
......................
shit ,全是CGI漏洞的扫描
法一:> 这个时侯 net stop w3svc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START w3svc 把服务打开.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清
了,别忘了把时间改 回来哦 实际上在得到ADMIN权限后,做这些事很容易.
法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具.
(4) SMTP日志
smtp服务日志默认位置:%sys temroot%\sys tem32\logfiles\smtpsvc1\
目录:
01-06-01 08:12a SMTPSVC1
该目录下的文件行式:
01-05-15 12:21a 371 ex010513.log
01-05-16 03:52a 257 ex010514.log
01-05-16 09:09a 182 ex010515.log
01-05-17 04:14p 893 ex010516.log
01-05-18 09:22a 263 ex010517.log
01-05-21 09:09a 293 ex010518.log
01-06-01 08:12a 8,222 ex010531.log
01-06-05 01:37p 3,099 ex010601.log
该文件ex010601.log的内容:
00:58:24 202.104.112.168 QUIT - 0
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 MAIL FROM - 250
00:58:30 202.104.112.168 RCPT TO - 250
00:58:30 202.104.112.168 QUIT - 0
00:59:51 202.104.112.168 MAIL FROM - 250
00:59:51 202.104.112.168 RCPT TO - 250
00:59:54 202.104.112.168 QUIT - 0
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
删除方法:
法一:> 此时可以 net stop smtpsvc
再 del .............
别忘了 net start smtpsvc
当然改文件内容也是可以的喽!
(5) eventlog日志文件
它包含: 安全日志
统日志
应用程序日志
题外话: 看看应用程序日志,觉得记录得很详细.
象这样: 外壳意外停止并且Explorer.exe被重新启动。
Detection of product '{00000804-78E1-11D2-B60F-006097C998E7}', feature 'TCWo rd2Files' failed during request for component '' 它是关键服务。如果不用第三方工具,在命令行上几乎没有删除安全日志和系统日志的 可能,(至少我还没想 出来)所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具 ”中的 “事件查看器” (98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台 计算机”的菜单,点击它: 输入远程计算机的IP,等,然后选择远程计算机的安全性日志,右键选择它的属性,点击 属性里的“清除日志” 按钮,等啊等啊等.......OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!
命令行上几乎没有删除安全日志和系统日志的 可能,(至少我还没想 出来)所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具 ”中的 “事件查看器” (98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台 计算机”的菜单,点击它: 输入远程计算机的IP,等,然后选择远程计算机的安全性日志,右键选择它的属性,点击 属性里的“清除日志” 按钮,等啊等啊等.......OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志!
本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/8508 ,如需转载请自行联系原作者
