Windows系统以它 的易用性倍受网管员的青睐，国内相当部分的大型网站都是用Windows 2000/XP系统建立的。Windows系统使用的人多了，研究它安全的人也多了。在此我要提醒一下网管们，虽然你补上了所有的安全补丁，但是谁又知道新的漏洞何时又会被发现呢？所以也应该做好系统日志的保护工作。

　　作为黑客，他们也是最关心系统日志的，一旦他们入侵成功，要做的第一件事就是删除你的日志文件，使你在被入侵后无法追踪黑客行为，以及检查黑客所做的操作行为。日志文件就像飞机中的“黑匣子”一样重要，因为里面保存着黑客入侵行为的所有罪证。

　　日志的移位与保护

　　Windows 2000的系统日志文件包括：应用程序日志、安全日志、系统日志、DNS服务日志，以及FTP连接日志和HTTPD日志等。在默认情况下日志文件大小为512KB，日志保存的默认的位置如下：

　　安全日志文件：%systemroot%\system32\config \SecEvent.EVT

　　系统日志文件：%systemroot%\system32\config \SysEvent.EVT

　　应用程序日志文件：%systemroot%\system32\config \AppEvent.EVT

　　FTP连接日志和HTTPD事务日志：%systemroot% \system32\LogFiles\，下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。

　　在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志，笔者看了好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法，但只要在命令行输入dir c:\*.evt/s（如系统安装在D盘，则盘符为D），一下就可查找到事件日志位置。日志移位要通过修改注册表来完成，我们找到注册表HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\Eventlog位置，下面的Application、Security、System几个子键，分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改注册表，下面我们来看看Application子键:

　　File项就是“应用程序日志”文件存放的位置，把此键值改为我们要存放日志文件的文件夹，然后再把%systemroot%\system32\config\appevent.evt文件拷贝到此文件夹，再重启机器。在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性，如果不移位也无法对文件进行安全设置操作，右击移位后的文件夹选择“属性”，进入“安全”选项卡，不选择“允许将来自父系的可继承权限传播给该对象”，添加“System”组，分别给Everyone组“读取”权限，System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小，如20MB。

　　进行了上面的设置后，再直接通过Del C:\*.Evt/s/q来删除是删不掉的；对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。