windowstask怎么看log

打开CSDN APP

Copyright © 1999-2020, CSDN.NET, All Rights Reserved

windows日志文件

打开APP

windows日志文件查看与清理 原创

2021-09-12 19:17:02

暗哑于秋~

码龄3年

关注

日志查看

(1) 启动Windows实验台，点击：开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。在这里插入图片描述

(2) 应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB，管理员可以改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

系统日志文件：%systemroot%\system32\config\SysEvent.EVT；

应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

DNS日志：%systemroot%\system32\config\DnsEvent.EVT；

在事件查看器中右键应用程序（或安全性、系统、DNS服务器）查看属性可以得到日志存放文件的路径，并可修改日志文件的大小，清除日志。例如选中“应用程序”右键属性，如下图：

在这里插入图片描述

选中事件查看器中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选择“筛选”。或者点击属性页面的筛选器标签，日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录

(3) 查看www和ftp日志文件夹下的日志文件

（由于实验环境中不允许访问互联网，无法操作得出日志文件。请参考指导书使用个人电脑进行实验。）

尝试对www服务中某一文件进行访问，则日志中则会有相应的日志记录如下图。

在这里插入图片描述

日志中记录了访问www服务的请求地址，管理员可以根据请求地址，发现网络上的攻击，管理员可根据日志信息，采取一定的防护措施。

在这里插入图片描述

ftp的日志中同样会记录ftp服务的登陆用户，以及登陆之后的操作。

(4) 计划任务日志

当入侵者得到远程系统的shell之后，常会利用计划任务运行功能更加强大的木马程序，计划任务日志详细的记录的计划任务的执行时间，程序名称等详细信息。

打开计划任务文件夹，点击“高级”-查看日志，即可查看计划任务日志。

​在这里插入图片描述

日志清除

(1) 删除事件查看器中的日志

主机下载使用elsave清除日志工具

下载地址：http://tools.hetianlab.com/tools/Elsave.rar

先用ipcKaTeX parse error: Undefined control sequence: \ipc at position 42: …e \\对方IP（实验台IP）\̲i̲p̲c̲ “密码” /user:“用户名”；

连接成功后，开始进行日志清除。

清除目标系统的应用程序日志输入elsave.exe -s \对方ip -l “application” -C

清除目标系统的系统日志输入elsave.exe -s \对方IP -l “system” -C

清除目标系统的安全日志输入elsave.exe -s \对方IP -l “security” -C

输入如下图

在这里插入图片描述

回车后可以查看远程主机内的系统日志已经被删除了

在这里插入图片描述

(2) 删除常见服务日志

IIS的日志功能，它可以详细的记录下入侵全过程，如用unicode入侵时IE里打的命令，和对80端口扫描时留下的痕迹。

手动清除：日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。进入到远程主机后（也可直接在实验台中操作），cmd下切换到这个目录下，然后 del .。或者删除某一天的日志。如果无法删除文件，首先需要停止w3svc服务，再对日志文件进行删除，使用net 命令停止服务如下：

C:>net stop w3svc

World Wide Web Publishing Service 服务正在停止。

World Wide Web Publishing Service 服务已成功停止。

日志w3svc停止后，然后清空它的日志, del .

C:>net start w3svc

清除ftp日志，日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志，清除方法同上。

(3) 删除计划任务日志

先来删除计划任务日志：

在实验台中命令行进入日志所在文件夹下（%systemroot%\Tasks）， 删除schedlgu.txt ， 提示无法访问文件，因为另一个程序正在使用此文件。说明服务保护，需要先把服务停掉。命令行中输入net stop schedule

在这里插入图片描述

下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

如上显示服务停掉了，同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt；

删除后需要再次启动该任务以便主机能够正常工作，输入net start schedule：

在这里插入图片描述

答案

在这里插入图片描述

分析与思考

1、还有哪些途径可以发现网络中存在的攻击或者入侵。

​ 日志文件、进程、自启动项目、网络连接、安全模式、映像劫持、CPU时间

2、清理日志能否把所有的痕迹都清理干净。

不能，还应删除操作记录，所做的每一个操作，都要被抹掉所上传的工具，都应该被安全地删掉

补充

电脑被入侵排查方法

在攻击结束后，如何不留痕迹的清除日志和操作记录，以掩盖入侵踪迹，这其实是一个细致的技术活。你所做的每一个操作，都要被抹掉你所上传的工具，都应该被安全地删掉。

打开CSDN，阅读体验更佳

什么是Windows日志?_运维有小邓@的博客_windows日志

Windows日志特指Windows操作系统中各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通...

继续访问

Windows升级日志文件可以删除吗?_石大师的博客_日志文件可以...

3、等到搜索完毕后,按下CTRL + A 快捷键,全选Log文件,按下del键删除。 4、最后清空回收站,就可以删除Windows升级日志文件了。

继续访问

Windows系统冗余log的清理bat脚本

Windows系统冗余log的清理bat脚本

继续访问

热门推荐 Windows系统日志分析

Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr.msc ...

继续访问

Widows Log Files (windows日志文件)_DoveFeng的博客_w11日志...

DNS Client service默认没有设置日志纪录。可以通过在%systemroot%/system32 目录下手动添加dnsrslvr.log文件,用来纪录事件日志 :/WINDOWS/system32/>echo "" >dnsrslvr.log 在Windows XP和windows server2003中,必须明显指定给 NETWORK...

继续访问

win10如何查看服务器日志文件,高手解读win10怎么查看日志文件的操作教程...

1、右键左下角"菜单"键,然后点击"事件查看器"。 2、然后点击"Windows日志",就能够进行查看了。 win10怎么查看日志文件的问题是不是大家根据以上提供的教程就处理好了呢?我们高兴能够在这里帮助到你。

继续访问

最新发布 应急响应-日志分析

日志概述在Windows系统中，日志文件包括:系统日志、安全性日志、应用程序日志：如何查看：右键我的电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器打开Windows系统的事件查看器，右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。系统：1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。

继续访问

windows查看服务器启动日志文件,windows服务器日志查看工具

windows服务器日志查看工具 内容精选换一换本节操作指导用户查看Windows弹性云服务器的登录日志。本节操作以2012操作系统云服务器为例。登录弹性云服务器。选择“开始 >管理工具 >事件查看器 ”。打开“ Windows日志 >安全 >筛选当前日志”。筛选事件ID为4776的事件即为远程登录日志。您还可以使用4624和4625查看登录信息。4624：Wind...

继续访问

windows日志总结_ordar123的博客_windows日志

windows日志总结 开启审核策略 运行secpol.msc可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。

继续访问

Windows系统服务器系统日志在哪里查看?_PAINzw的博客_服务器...

5.根据文件位置,咱们去C盘/Windows/system32/winevt/logs找到系统日志,即可查看,我个人觉得一个一个找文件挺麻烦的,所以我是直接找到system32文件夹后直接搜索【logs】文件夹,一步到位 注意:选择系统日志可进行查看,并且在日志管理页面中...

继续访问

在windows下，使用命令清除日志信息

清除日志信息的命令：del C:/winnt/system32/logfiles/*.* del C:/winnt/system32/config/*.evt del C:/winnt/system32/dtclog/*.* del C:/winnt/system32/*.log del C:/winnt/system32/*.txt del C:/winnt/*.txt

继续访问

安全清理大部分的C盘内存(一般10GB以上)

1.我电脑清理后腾出了80G的C盘空间，用了以下方法 如果感觉有用请关注，点赞，收藏！ 下次分享更有用的干货~ 1.先用清理软件(360,腾讯管家) 用360清理发现，windows search日志占用了70多个G空间，先清除！ 该日志文件有撒用呢？ 如果没有这个日志文件，我们在文件系统进行搜索的时候就会比较慢了，而且还会出现这样的字样。 这个日志主要是用来存索引的， 删除了只会在下次搜索东西的时候比较慢！ 对其他没有任何影响！！！！ 2.禁用该日志文件 1...

继续访问

计算机操作日志文件,教你完全读懂Windows日志文件

日志文件，它记录着Windows 及其各种服务运行的每个细节，对加强 Windows的稳定和安全性，起着十分 重要的作用。但许多用户不注意对它保护，一些“不速之客”很随便 就将日志文件清空，给系统带来严重的安全隐患。一、什么是日志文件日志文件是Windows 中一个比较特殊的文件，它记录着Windows 中所发作 的一切，如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安...

继续访问

windows日志查看与清理

使用elsave清除日志工具 先用ipc$管道进行连接，在cmd命令提示符下输入 net use \\对方IP（实验台IP）\ipc$ "密码" /user:"用户名"； 连接成功后，开始进行日志清除。 清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C 清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C 清除目标系统的安全日志输入elsave.ex...

继续访问

Windows下如何查看十几G的日志文件

周二工作中，为了查明一个bug产生的原因，记录了近30个小时的test环境的日志文件hrmkq.log。拿到的日志文件解压后有30G，这是任何文本编辑器都无法处理的大小。这里介绍一下windows环境分析大文件的好工具——LogViewer (http://www.uvviewsoft.com/logviewer/index.htm)。 官方介绍 UVviewsoft LogViewer 是一款无限大小的文本日志文件的查看器。（UVviewsoft LogViewer is a viewer for t

继续访问

2.3 IIS日志分析：手动清除IIS日志

IIS 日志

继续访问

Windows环境使用tail命令动态查询日志文件

Windows环境使用tail命令动态查询日志文件

继续访问

Windows常用快捷键

Windows常用快捷键 系统快捷键 快捷键 作用 Windows+E 打开我的电脑 Window+Prtscr 屏幕截图并放在剪贴板里面，并存储文件到图片文件夹 Window+数字键 打开任务栏第几个应用程序 Window+D 显示桌面/最小化窗口，可返回 Window+Q 搜索 Window+M 最小化所有窗口/不可返回 Window+R 打开运行对话框...

继续访问

日志文件

1. 日志文件 日志文件可以记录系统在什么时间、哪个主机、哪个服务、出现了什么信息等内容，这些信息也包括用户识别数据、系统故障排除须知等信息 日志文件就是记录系统活动信息的几个文件，如：何时、何地（来源IP）、何人（什么服务名称）、做了什么操作（信息登录）换句话说就是记录系统在什么时候由哪个进程做了什么样的操作时，发生了何种的事件 日志文件的作用： 解决系统方面的错误 解决网络服务的问题 过往事件记事本 ...

继续访问

win7开机慢_电脑慢怎么办？小白如何快速提升电脑的速度，只要这9步！全网最详细、简单落地，小白易上手操作方法...

重要说明：按此教程操作完成后，电脑速度至少提升100%以上试想一下，如果电脑反应速度慢，我们的效率如何提升?别人1秒钟可以操作的事情，我们可能10秒还完成不了，别人1小时能操作的事情，我们可能3小时间都完成不了，这就是工欲善其事，必先利其器！创业就跟打战一样，俗话说商场如战场，落后就会挨打，中国近两百年就是这样过来的，不过，现在中国慢慢赶上来了，各种先进的武器装备都奋力赶上，很多还做到世界第一。所...

继续访问

关于Windows日志

什么是 Windows日志？ Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等。 应用程序日志记录的是应用程序在系统中产生的事件信息。

继续访问

WindowsNT/2000的系统日志文件

一．Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt，根据系统开通的服务还会产生相应的日志文件。例如，DNS服务器日志DNS Serv.evt，FTP日志、WWW日志等。日志文件默认存放位置：%systemroot%\system32\config，默认文件大小51

继续访问

SAP 事务代码 sm21-系统日志

对Windows下日志清除的一些总结

这几日研究的课题是系统日志的清理，主要参考的书籍是《暗战强人. 黑客攻防实战高级演练》，虽然讲到的技术比较老，但对于刚入门 的我还是收获较大。 在Windows系统中，日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等，其扩展名为.log、 .txt。我们先来熟悉下各个日志文件存放的位置及相应的服务。 系统

继续访问

在windows服务器实现Linux cat/dev/null ＞ 文件 功能

1. 前提是windows装了powershell 2. 使用Clear-Content命令清空文件中内容 >所谓清空文件，就是将一个文本文件里面的内容全部删除，但是不删除文件本身 3. 案例 PS E:\ifield\logs>PS E:\ifield\logs>Clear-Content .\log.log PS E:\ifield\logs>...

继续访问

windows日志文件

怎么查看服务器操作系统日志 内容精选

换一换

c8a5a5028d2cabfeeee0907ef5119e7e.png

为加强对系统数据的容灾管理，云堡垒机支持配置日志备份，提高审计数据安全性和系统可扩展性。本小节主要介绍如何在系统配置OBS桶参数，将日志远程备份至OBS桶。开启远程备份后，系统默认在每天零点备份前一天的系统数据。以天为单位自动备份，生成日志文件，并上传到OBS桶相应文件夹。服务器同一路径下，不能重复备份同一天日志。支持备份至OBS桶的日志

鲲鹏软件栈汇聚各种鲲鹏兼容软件，帮助开发者了解如何将软件移植到鲲鹏上运行，获取操作指导和工具。

来自：其他

怎么查看服务器操作系统日志 相关内容

为加强对系统数据的容灾管理，云堡垒机支持配置日志备份，提高审计数据安全性和系统可扩展性。本小节主要介绍如何创建系统本地备份。支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。系统本地备份创建成功后，会在系统数据盘生成一个日志文件。用户已获取系统模块管理权限。若需下载系统本地备份日志，单击下载，

华为云云监控(Cloud Eye)功能总览，为用户介绍云监控支持的功能。

怎么查看服务器操作系统日志 更多内容

118fcc6f8f8a59b8317188ff10d93c94.png

在System Log页签，可以查看系统运行日志，操作步骤如下：Mind Studio不支持通过界面方式删除设备上的system log日志。如需对日志进行管理，请使用root或HwHiAiUser用户登录Mind Studio所在服务器操作系统后对/var/dlog目录下日志进行管理操作；如果Mind Studio安装用户是非root的

d57a9c4df2ad6d5977a2dea882116132.png

简要介绍log4cplus是一个简单易用的开源C++日志系统，提供线程安全、灵活和任意粒度的日志管理和配置控制。它是根据Java log4j API建模的。语言：C++一句话描述：C++日志系统开源协议：Apache License Version 2.0建议的版本建议使用版本为log4cplus-2.0.4。云服务器要求本文以云服务器K

359866fbd3d89c6b4b0a93acc1fa4c87.png

Windows操作系统镜像执行Sysprep之后，使用该镜像创建的弹性云服务器启动时出现如下图的提示信息：提示信息且弹出如下提示信息：Windows无法分析或处理 pass [ specialize ] 的无人参与应答文件。应答文件中指定的设置无法应用。处理组件设置时检测到错误 [ Microsoft-Windows-Shell-Setu

b139ef593fb8558052cf7d856d8ac3a5.png

ICAgent是云日志服务进行日志采集的工具，运行在需要采集日志的主机中。使用云日志服务在Linux环境采集日志时，需要安装ICAgent。您可以通过以下操作指导在Linux环境中安装ICAgent。安装ICAgent前，请确保本地浏览器的时间、时区与主机的时间、时区一致。如果不一致，可能会导致日志上报出错。安装非华为云主机需具备以下条件

0b0fd50cfcc497558515f132e9f0a09e.png

使用IEF时，您的边缘节点时间需要与UTC标准时间保持一致，否则会导致边缘节点的监控数据、日志上传出现偏差。您可以选择合适的NTP服务器进行时间同步，从而保持时间一致。边缘节点上需要安装Network Time Protocol daemon(ntpd)。例如在CentOS上可以执行yum install -y ntp命令安装ntpd。v

c98716077afa118c4722d3df701d5c06.png

弹性云服务器(Elastic Cloud Server)是一种可随时自动获取、计算能力可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。

f2c4fc7c94b8a6968e9bfbe258188211.png

Windows操作系统云服务器蓝屏，如图1所示。使用了来源不明的第三方软件。CPU占用过高导致。因为误操作或者病毒引起的系统文件、注册表损坏。操作系统在蓝屏的情况下，会显示对应的bugcheck code以及可能的导致蓝屏的模块来大概说明问题发生的原因。单击Bug Check Code Reference ，了解微软官方列举的bugche

1a97c4f052299ae736e0af6fa2667c80.png

AOM支持多个操作系统，在购买主机时您需选择AOM支持的操作系统，详见表1，否则无法使用AOM对主机进行监控。对于Linux x86_64服务器，AOM支持上表中所有的操作系统及版本。对于Linux ARM服务器，CentOS操作系统仅支持7.4 及其以上版本，上表所列的其他操作系统对应版本均支持。在使用AOM时，您需注意以下使用限制，详

39119fac39059b64817699818002d26a.png

您需要根据主机的操作系统，查看日志文件。

293f5c3a9815ee95e4ed79a7f04b8f18.png

当您购买的云服务器规格无法满足业务需要时，可参考本章节变更规格，升级vCPU、内存。对于部分类型的云服务器，您还可以在变更规格时，更换云服务器的类型。变更云服务器规格时，用户不能选择已售罄的CPU和内存资源。云服务器规格(CPU或内存)变小，会影响云服务器的性能。当云硬盘状态为“正在扩容”时，不支持变更所挂载的云服务器规格。Windows

784b2dc537fb8677eac9c3453eafe288.png

密钥对鉴权方式的Windows云服务器，使用私钥文件获取登录密码失败。出现获取密码失败一般原因是Cloudbase-init注入密码失败。 Cloudbase-init注入密码失败原因有：网络原因导致云服务器器无法连接到Cloudbase-init服务器。镜像上Cloudbase-init没有获取密码相关配置。云服务器上其他问题导致Clo

---