什么是事件日志呢?事件日志是专门记录计算机硬件、软件和系统整体方面的错误信息,也记录一些安全方面的问题。Windows 2000有三种类型的事件日志:
  1、系统日志
  这种日志跟踪各种各样的系统事件,包括Windows系统组件出现的问题,比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等。
  2、应用程序日志
  这种日志跟踪应用程序关联的事件,比如应用程序产生的像装载DLL(动态链接库)失败的信息将出现在日志中。
  3、安全日志
  这种日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。只是安全日志的默认状态是关闭的,这是我在设置本地安全策略后才产生的。
  在事件日志中,以下面几种情况来表示整个系统运行过程中出现的事件:
  (1)“错误”是指比较严重的问题,通常是出现了数据丢失或功能丢失。
  (2)“警告”则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太少等。
  (3)“信息”则是记录运行成功的事件。
  另外,安全日志则直接以成功审核和失败审核来标识事件的成功与否。
  由此可见,在这些事件日志里,存放着一些非常重要的信息,因为它记录着所有用户的操作,包括被审计了的操作,但是在默认的情况下,Guest和匿名用户是可以查看事件日志的,个别别有用心的人做了坏事之后,总是想要查看事件日志上是否记录他的行为并且伺机抹掉他的活动痕迹,如删除日志文件,让我这个管理员事后想要取证也难,所以必须禁止Guest和匿名用户访问事件日志,我利用修改注册表的方法来达到了禁止Guest访问事件日志的目的。打开注册表编辑器(在[开始]→[运行]框中输入“regedit”回车);
  禁止查看应用日志
  定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog \Application
  新建一个双字节值,名称为:RestrictGuestAccess,值设为1。
  禁止查看系统日志
  定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System
  新建一个双字节值,名称为:RestrictGuestAccess,值设为1。
  禁止查看安全日志
  在默认安装情况下,安全日志只有管理员才能查看。但是为避免别人在本地安全策略中修改权限,我们仍可以修改注册表要达到禁止查看的目的。定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Security
  新建一个双字节值,名称为:RestrictGuestAccess,值设为1。event是什么词性
  设置完以后,关闭注册表编辑器,重新启动计算机,以普通的Guest用
户登录一看,哈哈,Guest用户已经不能查看事件日志了,就这样我轻松地保护了这几台计算机的事件日志,这些日志只有我这个管理员才可以查看,为避免自己的行为被日志记录后被我警告,那些人再也不敢乱动机器了。
[上