如果用事件日志进行黑客跟踪系统,那么就激默芡食必须保存它们。从“设定日志文件大小”这项功能中,我们知道系统中的事件记录不可能无限制的被记录下来,要保存以前的事件日志记录,我们就得用高酿眚郁“事件查看器”提供的存储功能。这样我们可以按需查看各时段的事件日志了。首先选择要保存的日志类型,然后单击“操作"菜单下的“另存日志文件...”命令,最后在弹出的对话框中设置保存的文件名与文件类型(evt、txt、csv三种格式)单击“保存”按钮。
系统日志管理
1、系统管理有三种日志:安全日志、系统日志和应用程序日志
修改事件日志文件存放路径
1、菜单开始——运行输入regedit回车键,打开注册表。如图
2、<系统日志>打开注册表,展开分支:HKEY_LOCAL_MACHI鲍伊酷雪NE\System\CurrentControlSet\Services\Eve荏鱿胫协ntLog\System,然后双击右侧窗格中的File值,打开字符串的对话框。系统默认的存放路径是%SystemRoot%\System32\Config\SysEvent.Evt改为E:\SysEvent.Evt单击确定。这时可以根据自己的需要设定新的存放路径,如图
3、<应用程序日志>打开注册表编辑器,展开分支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Application,双击并修改右侧窗口中的File值,打开字符串的对话框。系统默认的存放路径是%SystemRoot%\System32\Config\AppEvent.Evt,这时可以根据自己的需要设定新的存放路径,如图
4、<安全日志>打开注册表编辑器,展开如下分支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Security,双击并修改右侧窗口中的File键值,打开字符串的对话框。系统默认的存放路径是%SystemRoot%\System32\Config\SecEvent.Evt,这时可以根据自己的需要设定新的存放路径,如图
5、完成修改后,重新启动计算机即可使修改生效。