如今各式各樣的Windows漏洞層出不窮，五花八門的入侵工具更是令人眼花繚亂，稍微懂點網絡知識的人都可以利用各種入侵工具進行入侵，這可給我們的網管帶來了很大的麻煩，雖然經過精心配置的服務器可以抵御大部分入侵，但隨著不斷新出的漏洞，再高明的網管也不敢保證一臺務器長時間不會被侵入，所以，安全配置服務器并不能永遠阻止黑客入侵，而如何檢測入侵者行動以保證服務器安全性就在這樣的情況下顯得非常重要。　　日志文件作為微軟Windows系列操作系統中的一個特殊文件，在安全方面具有無可替代的價值。它每天為我們忠實地記錄下系統所發生一切事件，利用它可以使系統管理員快速對潛在的系統入侵作出記錄和預測，但遺憾的是目前絕大多數的人都忽略了它的存在，反而是因為黑客們光臨才會使我們想起這個重要的系統日志文件，很有諷刺意味。　　在這里我們就不去講什么日志文件的默認位置、常見備份方法等基本技巧了，這樣的東西黑防以前講得很清楚了，大家可以翻看黑防以前的雜志學習這些東西，我們今天來看看如何分析常見的日志文件吧！ 　　1．FTP日志分析　　FTP日志和WWW日志在默認情況下，每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（月份）（日期）。例如ex040419，就是2004年4月19日產生的日志，用記事本可直接打開，普通的有入侵行為的日志一般是這樣的： #Software: Microsoft Internet Information Services 5.0（微軟IIS5.0） #Version: 1.0 （版本1.0） #Date: 20040419 0315 （服務啟動時間日期） #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331（IP地址為127.0.0.1用戶名為administator試圖登錄） 0318 127.0.0.1 [1]PASS – 530（登錄失敗） 032:04 127.0.0.1 [1]USER nt 331（IP地址為127.0.0.1用戶名為nt的用戶試圖登錄） 032:06 127.0.0.1 [1]PASS – 530（登錄失敗） 032:09 127.0.0.1 [1]USER cyz 331（IP地址為127.0.0.1用戶名為cyz的用戶試圖登錄） 0322 127.0.0.1 [1]PASS – 530（登錄失敗） 0322 127.0.0.1 [1]USER administrator 331（IP地址為127.0.0.1用戶名為administrator試圖登錄） 0324 127.0.0.1 [1]PASS – 230（登錄成功） 0321 127.0.0.1 [1]MKD nt 550（新建目錄失敗） 0325 127.0.0.1 [1]QUIT – 550（退出FTP程序） 　　從日志里就能看出IP地址為127.0.0.1的用戶一直試圖登錄系統，換了四次用戶名和密碼才成功，管理員立即就可以得知這個IP至少有入侵企圖！而他的入侵時間、IP地址以及探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用Administrator用戶名進入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系統出什么問題了。　　2．WWW日志分析　　WWW服務同FTP服務一樣，產生的日志也是在%systemroot%\sys tem32\LogFiles\W3SVC1目錄下，默認是每天一個日志文件。這里需要特別說明一下，因為Web的日志和其他日志不同，它的分析要細致得多，需要管理員有豐富的入侵、防護知識，并且要足夠的細心，不然，很容易遺漏那種很簡單的日志，而通常這樣的日志又是非常關鍵的。由于我們不可能一個一個分析，所以這里舉個簡單例子： #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windo