服务器日志清理及IIS日志的清理 首先介绍下日志的默认位置,只有我们知道了我们在服务器上留下的痕迹,才能擦除我们在计算机中留下的痕迹,而日志就是我们留下痕迹的位置所在.安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.EvtFTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1然而这些日志在系统正常运行的时候是不能被删除的.FTP和WWW服务可以先把这2个服务停止掉,然后再删除日志文件,但是安全,系统和应用程序的日志守护服务EventLog是没有办法停止的.那么有需要怎么清理呢?因为手工这一步有这种困难不好进行.所以我们可以利用工具.这里我给大家讲的用到的工具是CL.这个工具可以清理IIS日志.FTP日志`.计划任务日志.系统日志.清理服务日志只需要执行CL工具的清理命令清理服务日志:cl-logfiles127.0.0.1(程序自动先把FTP.WWW.TaskScheduler服务停止再删除日志,然后再启动三个服务.)清理系统日志:cl-enentlogall此工具支持远程清理,当然前提必须是建立了管理员权限的IPC管理连接.连接命令:netuse\\ip\ipc$密码/user:用户名然后用CL-LogFileIP对主机进行远程清理了.============================================================================对于IIS日志的清理目前对于网站的入侵方式主要是注入,然后再提权拿下服务器，这样主要的日志痕迹都留在了IIS日志里,所以只需要把我们在IIS日志中的IP地址清楚掉就可以了.这样清理的话更不会让对方管理员起疑心.那么真的要我们把IIS服务停掉,然后用记事本打开日志文件一点一点改吗?当然不是了.只需要使用CleanIISLog工具就可以轻松搞定了.CleanIISLog工具的用法:在CMD中执行CleanIISLog.IP地址就可以清楚所有IIS日志中有关IP的连接记录了,保留其它IP记录当清楚成功后,CleanIISLog会在系统日志中将本身的运行记录清楚.如果IIS的日志文件不是默认的话,可以执行CleanIISLogIIS日志路径服务器IP地址来指定IIS日志的路径.注意:此工具只能在本地运行,而且必须具有Administrators权限.windows系统日志分析 一、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1．修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项（如图），在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作，或建立一系列深目录以存放新日志文件，如D:\01\02\03\04\05\06\07，起名的原则就是要“越不起眼，越好”。2．设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号