手工清除服务器日志

在入侵过程中，远程主机的Windows系统会对入侵者的登录、注销、连接，甚至复制文件等操作都进行记录，并把这些记录保存到日志文件中。在这些日志文件中，记录着入侵者登录所用的账号，以及入侵者的IP地址等信息。入侵者可以通过多种途径来擦除入侵留下的痕迹，其中手段之一就是用服务器日志进行手动清除。

具体的操作步骤如下。

步骤1：先使用管理员账号与远程主机建立IPC$连接，在远程主机的【控制面板】窗口中双击【管理工具】图标，即可打开【管理工具】窗口。双击【计算机管理】图标项，即可打开【计算机管理】窗口。

步骤2：在其右边列表中展开【计算机管理（本地）】→【系统工具】→【事件查看器】选项，即可打开事件日志窗格，如图8-35所示。其中的事件日志分为 "应用程序"日志、"安全性"日志及"系统"日志3种，这3种日志分别记录了不同种类的事件。

步骤3：用鼠标右键单击要删除的日志文件，在弹出的快捷菜单中选择【清除】命令，即可清除选中的日志。如果想彻底删除日志文件，则可以在【计算机管理】窗口的左窗格中展开【计算机管理（本地）】→【服务和应用程序】→【服务】选项，再在其右窗格中用鼠标右健单击【Event Log】服务，在弹出的快捷菜单中选择【属性】命令，在打开的【属性】对话框中把该服务禁用，如图8-36所示。

（点击查看大图）图8-35 【计算机管理】窗口中的事件记录窗格

（点击查看大图）图8-36  禁用"Event Log"服务

此后，用户只要重新启动系统，该主机/服务器就不会对任何操作进行日志记录了。

全部删除：

dump

transaction

master

with

no_log

dump

transaction

master

with

truncate_only

单个删除：

dump

transaction

@databasename

with

no_log

dbcc

shrinkfile(

@logofilename,@newsize)

--收缩

日志

declare

@dbname

varchar(20)

set

@dbname='thsybsecondtest'

--1.清空日志

exec('dump

transaction

['+@dbname+']

with

no_log')

--2.截断事务日志：

exec('backup

log

['+@dbname+']

with

no_log')

--3.收缩数据库文件(如果不压缩,数据库的文件不会减小

exec('dbcc

shrinkdatabase(['+@dbname+'])')

--4.设置自动收缩

exec('exec

sp_dboption

'''+@dbname+''',''autoshrink'',''true''')

使用CL这个工具可以清理IIS日志、FTP日志、计划任务日志、系统日志、清理服务日志只需要执行CL工具的清理命令：

清理服务日志:cl -logfiles 127.0.0.1 (程序自动先把FTP.www.Task Scheduler服务停止再删除日志,然后再启动三个服务。)

清理系统日志:cl -enentlog all

此工具支持远程清理,当然前提必须是建立了管理员权限的IPC管理连接。

连接命令:net use \\ip\ipc$ 密码/user:用户名

然后用CL -LogFile IP对主机进行远程清理了。

---