为日志文件搬家(1)

在Windows 2000中，日志文件就是系统的日记，它能按照既定的设置来记录所发生的事件，包括应用程序日志、安全日志和系统日志三类，分别对应于AppEvent.Evt、SecEvent.Evt和SysEvent.Evt三个文件，默认存放于C：\WINNT\system32\config文件夹中。当系统发生一些大大小小的故障时，有经验的网管会从这些日志文件中找到一些蛛丝马迹，特别是一些与安全有关的网络入侵证据（可从中找到相关的IP地址、登录账号等信息）。
同样，稍稍有些头脑的黑客也深知此点，所以为了防止被抓住把柄，他们一般会在撤退时用工具或直接手工来清除所有的日志内容（这样的行为俗称“擦脚印”或“擦PP”等），或者干脆造份假日志等。因此对于日志文件的保护一定要慎重，比较可行的简易方法是为日志文件搬家，更改其默认的路径到别人想不到的地方。
1．默认的路径

 
图1 应用程序属性窗口

依次打开“控制面板→管理工具→计算机管理”，选中左侧窗格中的“事件查看器”，下面就出现“应用程序”、“安全性”和“系统”三项。以第一项“应用程序”为例，在上面点击鼠标右键，“属性”（如图1），在“日志名称”处明白地显示出Windows 2000的默认日志目的文件夹：“C:\WINNT\system32\config\AppEvent.Evt”。