■江蘇 孫秀洪

編者按：日常工作中，日志是分析和處理問(wèn)題的基本來(lái)源，本文列舉了一些和日志相關(guān)的問(wèn)題，希望對(duì)大家的工作有所幫助。

請(qǐng)問(wèn)怎樣限制SQL Server數(shù)據(jù)庫(kù)的日志文件大小？

答：在Windows系統(tǒng)環(huán)境下，逐一點(diǎn)選“開(kāi)始”、“程序”、“Microsoft SQL Server”、“企業(yè)管理器”命令，彈出SQL Server企業(yè)管理器窗口，在該窗口左側(cè)列表中，將鼠標(biāo)定位在“Microsoft SQL Servers”、“SQL Server組”、“（Local）”節(jié)點(diǎn)上，用鼠標(biāo)右鍵單擊該節(jié)點(diǎn)下面的特定數(shù)據(jù)庫(kù)選項(xiàng)，執(zhí)行右鍵菜單中的“屬性”命令，切換到本地SQL Server服務(wù)器特定數(shù)據(jù)庫(kù)屬性對(duì)話(huà)框。點(diǎn)擊“事務(wù)日志”標(biāo)簽，打開(kāi)對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面，在“最大文件大小”位置處，選中“將文件增長(zhǎng)限制為”選項(xiàng)，同時(shí)輸入合適的數(shù)值，單擊“確定”按鈕保存設(shè)置即可。

請(qǐng)問(wèn)Windows系統(tǒng)的Scheduler服務(wù)日志默認(rèn)存儲(chǔ)在哪個(gè)文件中？

答：存儲(chǔ)在“%systemroot%/schedlgu.txt”文件中。

Web日志是分析網(wǎng)站數(shù)據(jù)的最基礎(chǔ)來(lái)源，為了更好地分析、處理數(shù)據(jù)，我想知道這種日志有哪些格式？

答：Web日志一般有兩種格式，一類(lèi)是基于Apache服務(wù)器的NCSA日志格式，另一類(lèi)是基于IIS服務(wù)器的W3C日志格式。其中，NCSA格式又分為NCSA普通日志格式、NCSA擴(kuò)展日志格式這兩種類(lèi)型，后一種日志類(lèi)型比較常見(jiàn)，而W3C擴(kuò)展日志格式雖然有豐富的輸出，但應(yīng)用并不廣泛。

Linux系統(tǒng)日志文件中記錄了用戶(hù)的一切操作痕跡，很多黑客為了清除系統(tǒng)攻擊痕跡，往往會(huì)想盡一切辦法訪問(wèn)修改系統(tǒng)日志文件，請(qǐng)問(wèn)如何才能保護(hù)該系統(tǒng)日志文件的安全？

答：可以采取多種方法保護(hù)日志訪問(wèn)安全：首先通過(guò)合適設(shè)置，只允許root用戶(hù)賬號(hào)訪問(wèn)系統(tǒng)日志文件。其次將不再使用的xinetd服務(wù)停用掉。第三啟用系統(tǒng)內(nèi)核防火墻功能，禁止系統(tǒng)主機(jī)或者網(wǎng)絡(luò)訪問(wèn)系統(tǒng)的UDP 514端口。第四以非root方式登錄Ubuntu系統(tǒng)。

Linux系統(tǒng)日志中的每個(gè)消息都由四個(gè)域的固定格式組成，請(qǐng)問(wèn)這四個(gè)域指的是什么？

答：指的是時(shí)間標(biāo)簽、生成消息的計(jì)算機(jī)的名字、生成消息的子系統(tǒng)的名字以及消息的內(nèi)容這四個(gè)區(qū)域。

請(qǐng)問(wèn)怎樣查看Windows系統(tǒng)日志內(nèi)容？

答：很簡(jiǎn)單！可以依次點(diǎn)擊“開(kāi)始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊“管理工具”、“事件查看器”圖標(biāo)，進(jìn)入事件查看器窗口，在這里能看到日志功能自動(dòng)記憶的各種事件，例如啟動(dòng)過(guò)程中系統(tǒng)加載了哪些驅(qū)動(dòng)程序，系統(tǒng)在運(yùn)行過(guò)程中出現(xiàn)了哪些錯(cuò)誤等等。

當(dāng)然，也可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話(huà)框，在其中執(zhí)行“eventvwr.msc”命令，開(kāi)啟事件查看器窗口，這樣也能查找到日志功能自動(dòng)記憶的所有事件。

如何為特定用戶(hù)賬號(hào)授權(quán)，讓其可以正常訪問(wèn)Web日志文件？

答：首先打開(kāi)Web服務(wù)器所在主機(jī)系統(tǒng)的資源管理器窗口，找到日志文件的新路徑，用鼠標(biāo)單擊保存文件夾圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，打開(kāi)對(duì)應(yīng)文件夾的屬性對(duì)話(huà)框。選擇其中的“安全”標(biāo)簽，展開(kāi)安全標(biāo)簽設(shè)置頁(yè)面，在這里將其他用戶(hù)賬號(hào)全部刪除，再單擊“添加”按鈕，從其后彈出的賬號(hào)選擇對(duì)話(huà)框中，選中并導(dǎo)入特定的合法用戶(hù)賬號(hào)，再為合法用戶(hù)賬號(hào)設(shè)置合適的訪問(wèn)權(quán)限，最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作即可。

有一次，筆者偶然發(fā)現(xiàn)SQL Server數(shù)據(jù)庫(kù)提示“80040e31”錯(cuò)誤，在服務(wù)器系統(tǒng)中檢查CPU、內(nèi)存資源占用率時(shí)，發(fā)現(xiàn)它們占用很低，而且在事件日志中，看到數(shù)據(jù)庫(kù)中相關(guān)文件的自動(dòng)增長(zhǎng)出現(xiàn)超時(shí)提示，不知道為什么會(huì)出現(xiàn)這種現(xiàn)象？

答：很可能是系統(tǒng)管理員在設(shè)置數(shù)據(jù)庫(kù)時(shí)，文件增長(zhǎng)是按百分比來(lái)增長(zhǎng)的，當(dāng)數(shù)據(jù)庫(kù)文件尺寸很大時(shí)，新增操作一般都會(huì)報(bào)超時(shí)，而此時(shí)系統(tǒng)CPU、內(nèi)存等資源占用率往往都很低。要避免上述現(xiàn)象，只要將上述的文件增長(zhǎng)設(shè)置為一個(gè)更低的百分比或者直接指定增加多少兆字節(jié)即可。

近日，訪問(wèn)某個(gè)日志文件時(shí)，筆者發(fā)現(xiàn)了“20200407 04:091 10.192.60.17 10.192.60.35 80 GET/index.asp 200 Mozilla/4.0+(compatible;+MSIE+11.0;+W indows+XP;+DigExt)”這一段代碼，請(qǐng)問(wèn)從這段代碼中能讀出哪些信息？

答：通過(guò)分析這段代碼，不難看出2020年4月7日，IP地址為10.192.60.17的用戶(hù)通過(guò)訪問(wèn)IP地址為10.192.60.35服務(wù)器的80端口，瀏覽了一個(gè)頁(yè)面index.asp，這位用戶(hù)使用的上網(wǎng)瀏覽器為compatible;+MSIE+1 1.0;+Windows+XP+DigExt。很顯然，有點(diǎn)水平的系統(tǒng)管理員能通過(guò)分析處理安全日志、Ftp日志和Web日志，來(lái)準(zhǔn)確判斷惡意用戶(hù)的IP地址以及入侵時(shí)間。

請(qǐng)問(wèn)怎樣自動(dòng)清除SQL Server 2005數(shù)據(jù)庫(kù)日志內(nèi)容？

答：只要逐一點(diǎn)擊“開(kāi)始”、“程序”、“Microsoft SQL Server”、“企業(yè)管理器”命令，彈出SQL Server企業(yè)管理器窗口，在該窗口左側(cè)列表中，將鼠標(biāo)定位在“Microsoft SQL Servers”、“SQL Server組”、“（Local）”節(jié)點(diǎn)上，用鼠標(biāo)右鍵單擊該節(jié)點(diǎn)下面的特定數(shù)據(jù)庫(kù)選項(xiàng)，執(zhí)行右鍵菜單中的“所有任務(wù)”、“收縮數(shù)據(jù)庫(kù)”、“收縮文件”、“選擇日志文件”選項(xiàng)，在其后界面的收縮方式設(shè)置項(xiàng)處，設(shè)置好收縮到多少兆，直接輸入合適數(shù)值，確認(rèn)后即可。日后數(shù)據(jù)庫(kù)日志容量只要大于設(shè)定的數(shù)值，日志內(nèi)容就能被自動(dòng)清除了。

Linux系統(tǒng)包含三個(gè)主要的日志子系統(tǒng)，它們分別有什么作用？

答：Linux系統(tǒng)包含連接時(shí)間日志、進(jìn)程統(tǒng)計(jì)日志、錯(cuò)誤日志等三個(gè)子系統(tǒng)，其中連接時(shí)間日志子系統(tǒng)專(zhuān)門(mén)跟蹤記錄誰(shuí)在何時(shí)登錄到服務(wù)器系統(tǒng)，進(jìn)程統(tǒng)計(jì)日志系統(tǒng)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)，錯(cuò)誤日志子系統(tǒng)專(zhuān)門(mén)向文件“/var/log/messages”報(bào)告值得注意的事件。

請(qǐng)問(wèn)普通用戶(hù)能否刪除Windows系統(tǒng)日志文件？

答：不可以！所有類(lèi)型的日志文件，往往都會(huì)受到Event Log服務(wù)的保護(hù)，任意一種日志文件，都不允許用戶(hù)隨意刪除，當(dāng)然其中的內(nèi)容可以被定期清空。

一些黑客、木馬程序常常會(huì)偷偷創(chuàng)建系統(tǒng)隱藏賬號(hào)，并利用該賬號(hào)監(jiān)控或控制系統(tǒng)運(yùn)行，請(qǐng)問(wèn)有沒(méi)有辦法在第一時(shí)間發(fā)現(xiàn)陌生隱藏賬號(hào)的創(chuàng)建行為？

答：在Windows 7系統(tǒng)環(huán)境下，通過(guò)事件查看器內(nèi)置的附加任務(wù)功能，就可以對(duì)用戶(hù)帳號(hào)創(chuàng)建事件進(jìn)行智能報(bào)警提示，我們看到該提示后，就能知道系統(tǒng)中是否有人偷偷在創(chuàng)建系統(tǒng)隱藏賬號(hào)了。只要依次單擊“開(kāi)始”、“控制面板”、“管理工具”、“本地安全策略”選項(xiàng)，將鼠標(biāo)定位到“本地策略”、“審核策略”節(jié)點(diǎn)上，雙擊“審核賬戶(hù)管理”，同時(shí)選中“成功”、“失敗”，單擊“確定”按鈕保存設(shè)置操作，這樣Windows 7系統(tǒng)就能對(duì)用戶(hù)賬戶(hù)管理方面的事件自動(dòng)跟蹤記錄了。

其次打開(kāi)計(jì)算機(jī)管理窗口，依次跳轉(zhuǎn)到“本地用戶(hù)和組”、“用戶(hù)”節(jié)點(diǎn)上，在該節(jié)點(diǎn)下自由創(chuàng)建一個(gè)用戶(hù)賬號(hào)。之后打開(kāi)系統(tǒng)事件查看器列表窗口，逐一展開(kāi)“Windows日志”、“安全”分支，找到之前創(chuàng)建用戶(hù)賬號(hào)時(shí)生成的事件記錄，右擊該事件記錄，執(zhí)行“將任務(wù)附加到此事件”命令，彈出基本任務(wù)添加設(shè)置框，依照提示選中“顯示消息”選項(xiàng)，輸入好消息標(biāo)題與內(nèi)容，單擊“完成”按鈕返回。

這樣，日后當(dāng)黑客、木馬程序嘗試偷偷創(chuàng)建系統(tǒng)隱藏賬號(hào)時(shí)，系統(tǒng)就能及時(shí)監(jiān)控到這一異常操作行為，并出現(xiàn)有關(guān)報(bào)警提示，看到這樣的報(bào)警提示，就可以識(shí)別出系統(tǒng)中是否有隱藏帳號(hào)被偷偷創(chuàng)建了。一旦發(fā)現(xiàn)有隱藏賬號(hào)，一定要及時(shí)將它們刪除或停用，以避免它們被黑客、木馬程序非法利用。

有的網(wǎng)絡(luò)管理員喜歡查看日志文件，來(lái)判斷IIS平臺(tái)的安全狀態(tài)。但黑客常常會(huì)偷偷修改日志文件，以隱藏對(duì)IIS平臺(tái)的攻擊痕跡，請(qǐng)問(wèn)如何保護(hù)該平臺(tái)的日志安全？

答：首先進(jìn)入IIS平臺(tái)管理窗口，打開(kāi)特定站點(diǎn)的屬性對(duì)話(huà)框，選擇“網(wǎng)站”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中選中“啟用日志記錄”選項(xiàng)，在“活動(dòng)日志格式”位置處定義好日志文件的格式，默認(rèn)格式為W3C擴(kuò)展日志文件格式，單擊“屬性”按鈕，切換到日志文件屬性對(duì)話(huà)框。在這里，我們可以設(shè)置日志文件的大小，日志文件的保存路徑，默認(rèn)保存路徑為“%Windir%System32LogFiles”，單擊“瀏覽”按鈕，可以指定一個(gè)新的保存位置，當(dāng)然該位置最好不要與IIS站點(diǎn)主目錄處于相同的磁盤(pán)分區(qū)中。

其次進(jìn)入系統(tǒng)的資源管理器窗口，找到日志文件的新路徑，用鼠標(biāo)單擊保存文件夾圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，彈出目標(biāo)文件夾的屬性設(shè)置框。選擇“安全”選項(xiàng)卡，展開(kāi)安全選項(xiàng)設(shè)置頁(yè)面，在這里將除了合法可信用戶(hù)之外的其他賬號(hào)依次刪除，同時(shí)為合法可信用戶(hù)授予合適的訪問(wèn)權(quán)限，最后單擊“確定”按鈕退出設(shè)置對(duì)話(huà)框。

請(qǐng)問(wèn)如何對(duì)日志內(nèi)容執(zhí)行清空操作？

答：很簡(jiǎn)單！先打開(kāi)事件查看器窗口，用鼠標(biāo)右鍵單擊該窗口左側(cè)顯示區(qū)域中的某種類(lèi)型的日志文件，從彈出的快捷菜單中執(zhí)行“清除所有事件”命令，就能將指定類(lèi)型的日志文件全部清空了。

既然Windows的系統(tǒng)日志記錄了所有與系統(tǒng)訪問(wèn)有關(guān)的一切操作，請(qǐng)問(wèn)有沒(méi)有辦法通過(guò)日志記錄，查看每次的系統(tǒng)開(kāi)機(jī)、關(guān)機(jī)時(shí)間？

答：有辦法！可以依次點(diǎn)擊“開(kāi)始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊其中的“系統(tǒng)和維護(hù)”、“管理工具”、“事件查看器”圖標(biāo)，進(jìn)入事件查看器窗口。將鼠標(biāo)定位到該窗口左側(cè)的“Windows Logs”、“系統(tǒng)”節(jié)點(diǎn)上，用鼠標(biāo)右鍵單擊“系統(tǒng)”節(jié)點(diǎn)，點(diǎn)擊右鍵菜單中的“篩選當(dāng)前日志”命令，切換到日志篩選對(duì)話(huà)框。選擇“篩選器”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面的“記錄時(shí)間”位置處，選擇特定的時(shí)間段范圍，將事件來(lái)源參數(shù)選擇為“eventlog”，在“包括/排除事件ID”文本框中，輸入“6005，6006”，單擊“確定”按鈕返回到“Windows Logs”、“系統(tǒng)”節(jié)點(diǎn)下面，這樣我們就能查看到特定時(shí)間段內(nèi)的開(kāi)機(jī)記錄和關(guān)機(jī)記錄了。雙擊某個(gè)記錄選項(xiàng)，從其后彈出的界面中，我們就能知道具體的開(kāi)機(jī)時(shí)間和關(guān)機(jī)時(shí)間，有了這些證據(jù)，就能判斷出別人究竟偷用自己的計(jì)算機(jī)多長(zhǎng)時(shí)間了。

當(dāng)然，對(duì)于Windows XP系統(tǒng)來(lái)說(shuō)，我們可以先進(jìn)入系統(tǒng)資源管理器窗口，找到“C:Windowsschedlgu.txt”文件，該文件就包含Windows系統(tǒng)自安裝以來(lái)，曾經(jīng)記錄過(guò)的開(kāi)機(jī)時(shí)間和關(guān)機(jī)時(shí)間，用記事本程序打開(kāi)目標(biāo)日志文件，就能快速查到某日的開(kāi)機(jī)時(shí)間和關(guān)機(jī)時(shí)間信息。

對(duì)于Web服務(wù)器來(lái)說(shuō)，不同格式的日志文件，其存儲(chǔ)的數(shù)據(jù)內(nèi)容是否不同？

答：雖然日志文件格式不同，但其所存儲(chǔ)的內(nèi)容都是相同的。

IIS5.0以上版本系統(tǒng)默認(rèn)使用W3C格式的日志文件，請(qǐng)問(wèn)該日志文件記錄的內(nèi)容包括哪些？

答：該日志記錄的內(nèi)容包括客戶(hù)端地址、瀏覽器類(lèi)型、使用協(xié)議、訪問(wèn)目標(biāo)、訪問(wèn)日期、訪問(wèn)時(shí)間、結(jié)果狀態(tài)等常規(guī)信息，仔細(xì)對(duì)這些信息進(jìn)行篩選分析，能幫助單位或企業(yè)作出更好的決策，例如對(duì)于制造類(lèi)企業(yè)來(lái)說(shuō)，可決定相關(guān)產(chǎn)品有沒(méi)有繼續(xù)擴(kuò)大生產(chǎn)的必要，或者決定是否有必要對(duì)站點(diǎn)進(jìn)行完善升級(jí)，讓其更有吸引力，以便讓客戶(hù)和單位內(nèi)部員工能實(shí)現(xiàn)高效訪問(wèn)。

除此而外，從日志信息中，我們還能知道是否有惡意用戶(hù)對(duì)Web服務(wù)器進(jìn)行了入侵，因?yàn)槿魏稳肭趾圹EWeb服務(wù)器都能一點(diǎn)不漏的記憶下來(lái)，通過(guò)分析攻擊痕跡，可以得知惡意用戶(hù)的攻擊手法、攻擊習(xí)慣以及其他一些攻擊操作等，這些都有利于網(wǎng)絡(luò)管理員及時(shí)采取針對(duì)性措施，防范惡意用戶(hù)的再次攻擊。一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員往往會(huì)定期查看Web服務(wù)器中各種類(lèi)型的日志文件，從中判斷Web服務(wù)器是否存在非法登錄、程序是否執(zhí)行出錯(cuò)、系統(tǒng)是否非正常關(guān)機(jī)、系統(tǒng)是否遭遇攻擊等信息，通過(guò)查看具體的日志內(nèi)容，可以快速定位錯(cuò)誤或安全威脅的來(lái)源，并迅速采取應(yīng)對(duì)措施，讓W(xué)eb服務(wù)器正常工作。

請(qǐng)問(wèn)記錄登錄Linux系統(tǒng)過(guò)程的日志文件默認(rèn)位于什么位置？

答：一般位于“/var/log/secure”路徑。

為了保護(hù)IIS系統(tǒng)的Web日志安全，請(qǐng)問(wèn)如何將日志保存路徑轉(zhuǎn)移到其他位置？

答：首先登錄IIS系統(tǒng)所在主機(jī)，逐一單擊“開(kāi)始”、“設(shè)置”、“管理工具”、“Internet信息服務(wù)器”選項(xiàng)，彈出IIS控制臺(tái)界面，選擇Web服務(wù)器名稱(chēng)，打開(kāi)它的右鍵菜單，選擇“屬性”命令，彈出Web服務(wù)器屬性對(duì)話(huà)框。點(diǎn)擊“網(wǎng)站”標(biāo)簽，選中“啟用日志記錄”選項(xiàng)，點(diǎn)擊“屬性”按鈕，展開(kāi)日志記錄屬性對(duì)話(huà)框。在默認(rèn)保存位置文本框中，輸入新的保存路徑，確認(rèn)后保存設(shè)置即可。

當(dāng)系統(tǒng)遇到故障的時(shí)候，很多人會(huì)通過(guò)日志尋找故障根源?？捎袝r(shí)系統(tǒng)遇到意外，用戶(hù)無(wú)法使用事件查看器訪問(wèn)日志內(nèi)容，這該如何是好呢？

答：當(dāng)Windows系統(tǒng)遭遇病毒攻擊的時(shí)候，事件查看器程序可能會(huì)被病毒強(qiáng)行禁止運(yùn)行，這樣用戶(hù)就無(wú)法通過(guò)它查看各種事件日志。遇到這種情形時(shí)，不妨從網(wǎng)上下載使用“MyEventViewer”這款外力工具，來(lái)訪問(wèn)系統(tǒng)日志內(nèi)容，因?yàn)樗芡耆娲录榭雌鞴δ?，允許用戶(hù)輕松查看事件列表中的多個(gè)事件，以及在主窗口中會(huì)顯示事件的描述和數(shù)據(jù)，而不用打開(kāi)一個(gè)新窗口才能查看。

一般來(lái)說(shuō)，當(dāng)黑客成功通過(guò)IPC$共享連接通道入侵遠(yuǎn)程服務(wù)器系統(tǒng)后，所有入侵痕跡都會(huì)被服務(wù)器系統(tǒng)自動(dòng)記錄，可是用戶(hù)往往無(wú)法從中查找到相關(guān)入侵痕跡，請(qǐng)問(wèn)這是怎么回事？

答：很簡(jiǎn)單！為了躲避網(wǎng)管員的安全防范，黑客在入侵完服務(wù)器系統(tǒng)后，往往會(huì)清除日志記錄，或者通過(guò)肉雞入侵。

大家知道，Windows系統(tǒng)的日志功能會(huì)將用戶(hù)的任何操作痕跡自動(dòng)記錄下來(lái)，包括什么時(shí)候開(kāi)機(jī)、關(guān)機(jī)的，訪問(wèn)了哪些網(wǎng)站，運(yùn)行了哪些應(yīng)用程序等等；在多人共享使用一臺(tái)計(jì)算機(jī)的情況下，這種日志功能顯然會(huì)泄露用戶(hù)的隱私信息，請(qǐng)問(wèn)有沒(méi)有辦法不讓W(xué)indows系統(tǒng)的日志功能記錄用戶(hù)的操作隱私？

答：只要關(guān)閉系統(tǒng)中的Windows Event Log服務(wù)，就能阻止Windows系統(tǒng)的日志功能偷偷記錄用戶(hù)的操作隱私了。在關(guān)閉目標(biāo)系統(tǒng)服務(wù)時(shí)，可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”選項(xiàng)，在系統(tǒng)運(yùn)行框中執(zhí)行“services.msc”命令，彈出系統(tǒng)服務(wù)列表窗口，雙擊Windows Event Log服務(wù)選項(xiàng)，在對(duì)應(yīng)服務(wù)屬性框的“常規(guī)”標(biāo)簽頁(yè)面中，按“停止”按鈕，同時(shí)將該服務(wù)的啟動(dòng)類(lèi)型參數(shù)修改為“自動(dòng)”，再單擊“確定”按鈕即可。

在長(zhǎng)時(shí)間工作之后，DHCP服務(wù)器的運(yùn)行狀態(tài)可能會(huì)存在一些問(wèn)題，那么如何才能及時(shí)了解它的運(yùn)行狀態(tài)變化情況呢？

答：我們只要啟用DHCP服務(wù)器的審核記錄功能，讓該功能自動(dòng)追蹤記錄DHCP服務(wù)器的運(yùn)行狀態(tài)，日后只要定期查看相關(guān)的日志文件，就能及時(shí)了解它的運(yùn)行狀態(tài)變化情況了。在啟用審核記錄功能時(shí)，先打開(kāi)DHCP控制臺(tái)窗口，右擊本地主機(jī)名稱(chēng)，執(zhí)行“屬性”命令，點(diǎn)選“常規(guī)”標(biāo)簽，選中“啟用DHCP審核記錄”選項(xiàng)，最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作。啟用了審核記錄功能后，該功能會(huì)將DHCP服務(wù)器工作狀態(tài)信息自動(dòng)存儲(chǔ)到“X:WINNTSystem32dhcp”文件夾中；為了安全起見(jiàn)，我們可以修改該日志文件的默認(rèn)路徑，讓非法用戶(hù)無(wú)法找到該文件。

現(xiàn)在的局域網(wǎng)經(jīng)常會(huì)受到ARP病毒的攻擊，每次遭遇病毒攻擊后，H3C交換機(jī)的日志功能，幾乎都能將病毒引起的地址沖突記錄記憶下來(lái)，那么如何通過(guò)查看日志記錄，找出具體感染病毒的主機(jī)系統(tǒng)嗎？

答：首先在交換機(jī)后臺(tái)系統(tǒng)，使用“dis logbuff”命令，查看后臺(tái)系統(tǒng)日志信息，找到具體的地址沖突記錄，從中記下感染ARP病毒的主機(jī)MAC地址，以及該主機(jī)系統(tǒng)所處的VLAN信息。其次根據(jù)VLAN信息，查找單位的組網(wǎng)資料，獲得病毒主機(jī)所連交換機(jī)的IP地址。第三遠(yuǎn)程登錄進(jìn)目標(biāo)交換機(jī)后臺(tái)系統(tǒng)，使用“disp macaddress”命令，來(lái)查看該交換機(jī)的端口與MAC地址的映射記錄；第四根據(jù)病毒主機(jī)MAC地址信息，判斷出病毒主機(jī)究竟連接在目標(biāo)交換機(jī)的那個(gè)交換端口上。第五進(jìn)入病毒主機(jī)所連交換端口視圖模式狀態(tài)，執(zhí)行“shutdown”命令，切斷病毒主機(jī)與單位局域網(wǎng)的連接，以免ARP病毒繼續(xù)攻擊網(wǎng)絡(luò)中的其他主機(jī)。第六趕到病毒主機(jī)與交換機(jī)所連端口現(xiàn)場(chǎng)，檢查端口線纜上是否有標(biāo)簽說(shuō)明，或者直接順著網(wǎng)絡(luò)線纜，找出病毒主機(jī)的具體位置。最后使用專(zhuān)業(yè)工具查殺干凈ARP病毒，再將病毒主機(jī)接入網(wǎng)絡(luò)，同時(shí)在對(duì)應(yīng)交換端口視圖模式狀態(tài)下執(zhí)行“undo shutdown”命令，恢復(fù)病毒主機(jī)的上網(wǎng)連接狀態(tài)。

客戶(hù)端系統(tǒng)能否快速瀏覽網(wǎng)頁(yè)，與DNS服務(wù)器工作狀態(tài)的好壞有關(guān)；為了讓DNS服務(wù)器始終運(yùn)行穩(wěn)定，我們有必要定期查看它的工作狀態(tài)，以便提前知道它的運(yùn)行隱患，請(qǐng)問(wèn)如何查看DNS服務(wù)器的工作狀態(tài)？

答：先以系統(tǒng)管理員權(quán)限登錄服務(wù)器，依次單擊“開(kāi)始”、“程序”、“管理工具”、“DNS”命令，展開(kāi)DNS服務(wù)器控制臺(tái)，右擊DNS服務(wù)器主機(jī)，點(diǎn)選右鍵菜單中的“屬性”命令；點(diǎn)選屬性對(duì)話(huà)框中的“日志”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面指定的日志文件中，記錄了DNS服務(wù)器的工作狀態(tài)信息，包括應(yīng)答方面的、通知方面的、查詢(xún)方面的信息。日后，定期打開(kāi)該日志文件，就能查看到DNS服務(wù)器的工作狀態(tài)了。

請(qǐng)問(wèn)IIS日志文件的編碼格式一般有幾種？

答：一般有兩種格式，分別為UTF-8格式與ANSI格式。其中，UTF-8格式不但支持日志中的英文語(yǔ)言，也支持中文語(yǔ)言，使用該日志格式確保用戶(hù)日后閱讀日志時(shí)不會(huì)遇到亂碼內(nèi)容，而ANSI格式雖然名氣較大，但主要是為英文所設(shè)計(jì)的，用來(lái)保存其他語(yǔ)言時(shí)容易出現(xiàn)亂碼內(nèi)容。

IIS6.0系統(tǒng)支持集中的二進(jìn)制日志記錄，請(qǐng)問(wèn)該日志記錄有什么特點(diǎn)？

答：該日志記錄是多個(gè)網(wǎng)站向單個(gè)日志文件寫(xiě)入不帶格式的二進(jìn)制日志數(shù)據(jù)的過(guò)程，當(dāng)開(kāi)啟的所有站點(diǎn)在Web服務(wù)器上運(yùn)行時(shí)，IIS系統(tǒng)將日志數(shù)據(jù)都寫(xiě)入單個(gè)日志文件。