程序获取系统日志

程序获取系统日志

系统日志的获取只要用到了2个函数OpenEventLog ReadEventLog。但是读的时候对于中文的处理不是很好，有时候读不到中文或者是乱码。下面的代码是实现读取日志的code，解决了中文读取的问题。

#include"stdafx.h"

#include"info_syslog.h"

#define BUFFER_SIZE 512

#define BUFFER_SIZE 1024*64

unsigned long lCount = 0;

//#define DEFAULT_FILE "C:\\ossec-extracted-evt.log"

FILE *fp;

int event_record=0;

/* Event logging local structure */

typedef struct_os_el

{

int time_of_last;

char *event_name;

EVENTLOGRECORD *er;

HANDLE h;

DWORD record;

}os_el;

os_el el[3];

int el_last = 0;

/** int startEL(char *app, os_el *el)

* Starts the event logging for each el

*/

int startEL(char *app, os_el *el)

{

/* Opening the event log */

el->h = OpenEventLog(NULL, app);

if(!el->h)

{

return(0);

}

el->event_name = app;

GetOldestEventLogRecord(el->h, &el->record);

return(1);

}

/** char *el_GetCategory(int category_id)

* Returns a string related to the category id of the log.

*/

char *el_GetCategory(int category_id)

{

char *cat;

switch(category_id)

{

case EVENTLOG_ERROR_TYPE:

cat = "错误";

break;

case EVENTLOG_WARNING_TYPE:

cat = "警告";

break;

case EVENTLOG_INFORMATION_TYPE:

cat = "信息";

break;

case EVENTLOG_AUDIT_SUCCESS:

cat = "审核成功";

break;

case EVENTLOG_AUDIT_FAILURE:

cat = "审核失败";

break;

default:

cat = "Unknown";

break;

}

return(cat);

}

/** int el_getEventDLL(char *evt_name, char *event_sourcename, char *event) * Returns the event.

*/

int el_getEventDLL(char *evt_name, char *event_sourcename, char *event) {

HKEY key;

DWORD ret;

char keyname[256];

keyname[255] = '\0';

_snprintf(keyname, 254,

"System\\CurrentControlSet\\Services\\EventLog\\%s\\%s",

evt_name,

event_sourcename);

/* Opening registry */

if(RegOpenKeyEx(HKEY_LOCAL_MACHINE, keyname, 0, KEY_ALL_ACCESS, &key) != ERROR_SUCCESS)

{

return(0);

}

ret = MAX_PATH -1;

if (RegQueryValueEx(key, "EventMessageFile", NULL,

NULL, (LPBYTE)event, &ret) != ERROR_SUCCESS)

{

event[0] = '\0';

return(0);

}

RegCloseKey(key);

return(1);

}

/** char *el_Getmessage()

* Returns a descriptive message of the event.

*/

char *el_GetMessage(EVENTLOGRECORD *er, char *event_name,

char * event_sourcename, LPTSTR *el_sstring)

{

DWORD fm_flags = 0;

char tmp_str[257];

char event[MAX_PATH +1];

char *curr_str;

char *next_str;

LPSTR message = NULL;

HMODULE hevt;

/* Initializing variables */

event[MAX_PATH] = '\0';

tmp_str[256] = '\0';

/* Flags for format event */

fm_flags |= FORMAT_MESSAGE_FROM_HMODULE;

fm_flags |= FORMAT_MESSAGE_ALLOCATE_BUFFER;

fm_flags |= FORMAT_MESSAGE_ARGUMENT_ARRAY;

/* Get the file name from the registry (stored on event) */

if(!el_getEventDLL(event_name, event_sourcename, event))

{

return(NULL);

}

curr_str = event;

/* If our event has multiple libraries, try each one of them */

while((next_str = strchr(curr_str, ';')))

{

*next_str = '\0';

next_str++;

ExpandEnvironmentStrings(curr_str, tmp_str, 255);

hevt = LoadLibraryEx(tmp_str, NULL, DONT_RESOLVE_DLL_REFERENCES);

if(hevt)

{

if(!FormatMessage(fm_flags, hevt, er->EventID,

0,

(LPTSTR) &message, 0, el_sstring))

{

message = NULL;

}

FreeLibrary(hevt);

/* If we have a message, we can return it */

if(message)

return(message);

}

curr_str = next_str;

}

ExpandEnvironmentStrings(curr_str, tmp_str, 255);

hevt = LoadLibraryEx(tmp_str, NULL, DONT_RESOLVE_DLL_REFERENCES);

if(hevt)

{

int hr;

if(!(hr = FormatMessage(fm_flags, hevt, er->EventID,

0,

(LPTSTR) &message, 0, el_sstring)))

{

message = NULL;

}

FreeLibrary(hevt);

/* If we have a message, we can return it */

if(message)

return(message);

}

return(NULL);

}

/** void Read_event(os_el *el)

* Reads the event log.

*/

CString Read_event(os_el *el, int printit, CProgress* m_Progress) {

DWORD nstr;

DWORD user_size;

DWORD domain_size;

DWORD read, needed;

int size_left;

int str_size;

CString strTemp;//("Failed to get system log");

char *mbuffer[BUFFER_SIZE];

LPSTR sstr = NULL;

char *tmp_str = NULL;

char *event_category;

char *event_sourcename;

char *event_computername;

char *event_descriptive_msg;

char event_el_user[257];

char event_el_domain[257];

char el_string[1025];

char final_out_msg[1024];

LPSTR el_sstring[57];

/* Er must point to the mbuffer */

el->er = (EVENTLOGRECORD *) &mbuffer;

/* Zeroing the last values */

el_string[1024] = '\0';

event_el_user[256] = '\0';

event_el_domain[256] = '\0';

final_out_msg[1023] = '\0';

el_sstring[56] = NULL;

/* Reading the event log */

while(ReadEventLog(el->h,

EVENTLOG_FORWARDS_READ | EVENTLOG_SEQUENTIAL_READ,

0,

el->er, BUFFER_SIZE -1, &read, &needed))

{

while(read > 0)

{

/* We need to initialize every variable before the loop */

event_category = el_GetCategory(el->er->EventType);

event_sourcename = (LPSTR) ((LPBYTE) el->er + sizeof(EVENTLOGRECORD));

event_computername = event_sourcename + strlen(event_sourcename) + 1;

event_descriptive_msg = NULL;

user_size = 255; domain_size = 255;

event_el_domain[0] = '\0';

event_el_user[0] = '\0';

if(el->er->NumStrings)

{

size_left = 1020;

sstr = (LPSTR)((LPBYTE)el->er + el->er->StringOffset);

el_string[0] = '\0';

for (nstr = 0;nstr < el->er->NumStrings;nstr++)

{

str_size = strlen(sstr);

strncat(el_string, sstr, size_left);

tmp_str= strchr(el_string, '\0');

if(tmp_str)

{

*tmp_str = ' ';

tmp_str++; *tmp_str = '\0';

}

size_left-=str_size + 1;

if(nstr <= 54)

el_sstring[nstr] = (LPSTR)sstr;

sstr = strchr( (LPSTR)sstr, '\0');

sstr++;

}

/* Get a more descriptive message (if available) */

event_descriptive_msg= el_GetMessage(el->er, el->event_name, event_sourcename, el_sstring);

if(event_descriptive_msg != NULL)

{

/* Remove any \n or \r */

tmp_str = event_descriptive_msg;

while((tmp_str = strchr(tmp_str, '\n')))

{

*tmp_str = ' ';

tmp_str++;

}

tmp_str = event_descriptive_msg;

while((tmp_str = strchr(tmp_str, '\r')))

{

*tmp_str = ' ';

tmp_str++;

//strchr(tmp_str, '\n');

}

}

}

else

{

strncpy(el_string, "(no message)", 1020);

}

if (el->er->UserSidLength)

{

SID_NAME_USE account_type;

if(!LookupAccountSid(NULL, (SID *)((LPSTR)el->er + el->er->UserSidOffset),

event_el_user, &user_size, event_el_domain, &domain_size,

&account_type))

{

strncpy(event_el_user, "(no user)", 255);

strncpy(event_el_domain, "no domain", 255);

}

}

else

{

strncpy(event_el_user, "A", 255);

strncpy(event_el_domain, "N", 255);

}

tm *event_time = _localtime32((__time32_t *)&el->er->TimeWritten);

_snprintf(final_out_msg, 1022,

"事件记录序列号:%d 事件:%s 日期:%.4hd-%.2hd-%.2hd 时间:%.2hd:%.2hd:%.2hd 事件类型:%s 事件来源:%s 事件ID:(%u) 用户:%s/%s 计算机:%s 描述:%s\n",

event_record,

el->event_name,

event_time->tm_year + 1900,

event_time->tm_mon + 1,

event_time->tm_mday,

event_time->tm_hour,

event_time->tm_min,

event_time->tm_sec,

event_category,

event_sourcename,

(WORD)el->er->EventID,

event_el_domain,

event_el_user,

event_computername,

event_descriptive_msg != NULL?event_descriptive_msg:el_string);

strTemp += final_out_msg;

lCount++;

if ( 0 == lCount%1000 && m_Progress->GetPos() < (PROGRESS_RANGE - 1) )

{

m_Progress->AddPos();

}

if(event_descriptive_msg != NULL)

LocalFree(event_descriptive_msg);

/* Changing the point to the er */

read -= el->er->Length;

el->er = (EVENTLOGRECORD *)((LPBYTE) el->er + el->er->Length);

event_record++;

}

/* Setting er to the beginning of the buffer */

el->er = (EVENTLOGRECORD *)&mbuffer;

}

return strTemp;

}

/** void win_startel()

* Starts the event logging for windows

*/

/*void win_startel(char *eventlog)

{

event_record=1;

startEL(eventlog, &el[el_last]);

Read_event(&el[el_last],1);

el_last++;

}*/

CString GetSysLogInfo(CProgress* m_Progress)

{

lCount = 0;

CString rtn;

event_record=1;

startEL(_T("Application"), &el[el_last]);

rtn += Read_event(&el[el_last],1,m_Progress);

startEL(_T("Security"), &el[el_last]);

rtn += Read_event(&el[el_last],1,m_Progress);

startEL(_T("System"), &el[el_last]);

rtn += Read_event(&el[el_last],1,m_Progress);

int i = m_Progress->GetPos();

for ( ; i < PROGRESS_RANGE ; ++i )

{

m_Progress->AddPos();

}

return rtn;

}

系统下收集日志方法

收集日志操作如下： HPS 1、将附件HPSRPT_Enhanced_v9.0.00r2.zip 文件copy到目标服务器，存放在c:\ 2、解压到当前文件夹后双击运行HPSRPT_Enhanced_v9.0.00r2.cmd文件 3、不要关闭DOS运行窗口大约15分钟左右会自动消失说明运行完成。 4、完成后需要到C:\WINDOWS\HPSReports\Enhanced\Report\cab 目录下查看生成文件信息 5、收集对应时间点的cab文件即可。 第一个日志：ADU报告 2、打开开始——程序——HP System Tools——HP Array Configuration Utility——HP Array Configuration Utility。

3、选择Local Applcation Mode，本地应用模式。 4、打开了HP Array Configuration Utility工具后，点中间的Diagnostics选项卡，选中左侧的

阵列卡，右侧会出现2个按钮，查看和提取日志报告，我们选择Generate Diagnostic Report。 5、提示Reprot Generation Complete日志提取完毕，这时可以选择右下角Save report按钮。

6、选择保存，弹出保存菜单，点保存。 7、可以选择保存到桌面上。

第二个报告：survey报告 打开开始——程序——HP System Tools——HP Insight Diagnostics online Edition for Windows ——HP Insight Diagnostics online Edition for Windows。 9、提示安全证书报警，选择是，继续。

windows系统日志与入侵检测详解-电脑教程

windows系统日志与入侵检测详解 -电脑教程.txt我很想知道，多少人分开了，还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你！待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志：当人们出海远行地时候，总是要做好航海日志，以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在地系统入侵作出记录和预测，但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件，首先就要从它地特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等，都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下，可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现，你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个；若存在地话，将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了，包括日志文件?但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己地入侵踪迹，就必须对日志进行修改 . 最简单地方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己，网络上有很多专门进行此类 功能地程序，例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98，所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志，除非有特殊用途，例如，利用 Windows 98建立个人 Web服务器时，就会需要启用系统日志来作为服务器安全方面地参考，当已利用 Windows 98 建立个人 Web 服务器地用户，可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关地网络协议，并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮； (3＞在“In ternet 服务管理员”页中单击“ WW管理”；

如何查看电脑使用记录完整版

如何查看电脑使用记录 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

一、如何查看电脑开机记录 1.打开“我的电脑”，C盘Windows目录下有很多文件，找到一个（或者开始－运行）。它是“计划任务”的日志，会忠实地记录电脑计划任务的执行情况，还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”，双击“管理工具”，然后打开“事件查看器”，在左边的窗口中选择“系统”选项。单击鼠标右键，在弹出的快捷菜单中选择“属性”，在打开的“系统属性”窗口中选择“筛选器”选项卡，在“事件类型”下面选中“信息”复选项，并在“事件来源”列表中选择“eventlog”选项，继续设定其他条件后，单击“确定”按钮，即可看到需要的事件记录了。双击某条记录，如果描述信息为“事件服务已启动”，那就代表计算机开机或重新启动的时间，如果描述信息是“事件服务已停止”，即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序，文件最前面的为程序名，后面的执行代码不用理他！如果你没有优化过的话~这里面保存的东西应该是非常有价值的！

2.看你最近打开过什么文件（非程序）和文件夹(最近打开文件的历史记录)！ "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator （Administrator改成你的用户名）"-"Recent"（或开始－运行－recent）。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始－运行－Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始－文档中可以看到最近使用过的文件。 5. 电脑日志记录：开始/控制面板/性能和维护（经典视图里去掉这个）/管理工具/事件查看器，看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始－运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址，可以在IE里点击历史记录。

日志管理系统功能说明书

日志管理系统功能说明书 日志管理系统是用来实时采集、搜索、分析、可视化和审计系统及事件日志的管理软件，能够对全网范围内的主机、服务器、网络设备、数据库以及各种应用服务系统等产生的日志全面收集，并通过大数据手段进行分析，通过统一的控制台进行实时可视化的呈现。通过定义日志筛选规则和策略，帮助IT管理员从海量日志数据中精确查找关键有用的事件数据，准确定位网络故障并提前识别安全威胁，从而降低系统宕机时间、快速响应，从而提升网络性能、业务系统稳定性、全网的安全性。 一．硬件需求 1．可以采用普通的x86服务器，以集群布署的方式实现高速、低价、稳定、实时的日志管理。 2．配置：2颗CPU，32G内存，Xeon-E5，1T硬盘，7-10台 二．系统技术栈 1.Flume+Kafk：a收集各种类型的日志信息 2.Sparkstreaming：实时处理、分析收集的数据 3.Elasticsearch：实现多维度的搜索、查询 4.HBase、HDFS：实现日志的存储 三．功能详述 1.实时事件关联：预置多种事件关联规则，快速定位网络安全威胁、黑客攻击、内 部违规； 2.多样化的报表和统计图表：允许创建自定义报表，生成多样化的统计图表。

3.集中的日志采集：持各种协议采集，对不同日志源所产生的日志进行收集，实现 日志的集中管理和存储，支持解析任意格式、任意来源的日志。 4.特定用户监控：收集并分析特定用户活动产生的各种日志。 5.日志搜索：强大的日志搜索引擎，可进行多维度的搜索查询，从海量的日志数据 中检索出所需的信息，进而产成更详细的日志分析报表。 6.实时警告：支持用户自定义告警规则，告警发送模式支持短信及邮件等基本方式。 还可以通过手机APP，和微信公众号的方式实现手机APP和微信的消息推送的方式进行高危告警。 7.日志分析：通过大数据挖掘分析手段，对日志进行深入的挖掘和分析，从而发现日 志中存在的关联性问题或异常。 8.灵活的日志归档：通过自定义方式，提对收集的日志数据进行自动归档处理，以 实现日志数据的长久保存。 9.允许二次开发：提供丰富的开发接口，允许用户进行二次开发，（比如：自定义图表 的展示、日志的截取、分析结果的导出等） 10.安全简单的布署：对现有网络不产生任何影响，安全可靠，采用Docker技术，实 现快速、简使的布署。

查看系统操作日志

如何查看电脑使用记录 系统设置 : 怎样在日志里面记录用户地登陆、对文件地访问等信息? : "开始"—>"运行"—>""—>"计算机配置"—>"设置"—>"安全设置"—>"本地策略"—>"审计策略"—>...b5E2R。 .看计算机在哪天运行过运行了多久！ （系统安装在盘) 找到:\\文件里面有你自这个系统产生以来曾经工作过地时间，包括哪天开了机开机时间关机时间！ 也可以进入控制面版管理工具事件查看器系统可以看到开机和关机时间. .看你最近运行过什么程序： 找到:\\下.里面有记录你曾经运行过什么程序，文件最前面地及为程序名，后面地执行代码不用理他！如果你没有优化过地话这里面保存地东西应该是非常有价值地！p1Ean。 .看你最近打开过什么文件（非程序）和文件夹！ 开始运行

.看最近在网上做了什么…………等等 显示所有文件个文件夹，找到:\ \\ 目录你慢慢探索一下这个文件夹吧如果没有进行过磁盘清理或相关优化你所有记录可全在这个里面哦（包括你上网干了什么坏事可能还能有视频，图片罪证呢！呵呵）DXDiT。 .查看最近删除了什么：这就要用到硬盘恢复工具啦把你曾经以为彻底删除掉地东西都给你翻出来哈哈！！ 相关软件(以下软件较旧，可以找相关新版地软件，自己去百度搜索吧）. 文件大小：更新时间：下载次数：次软件星级：★★★ 可以即时地监测你地电脑，当你地电脑有改变地时候，它会立刻提示你，从而让你作出选择. 软件分类：系统监视操作系统：授权方式：试用版RTCrp。 文件大小：更新时间：下载次数：次软件星级：★★★ 可说是地加强版，有别于地一次只可以监控一个文件，可以监控一个文件夹中下地所有文件. 软件分类：系统监视操作系统：授权方式：试用版5PCzV。

工作日志管理系统规定(试行)

工作日志管理规定（试行） 为进行公司效能建设，规范化管理，培养员工良好的工作作风，利于工作监督检查与总结，经公司领导决定，自7月份开始在公司全体人员中推行工作日志制度。每位员工应按本办法要求坚持执行工作日志制度，如实记录个人的工作进度、落实情况等，并将工作日志作为反映本人工作的第一手资料和考核量化的依据。 一、推行的目的和意义 1、以工作日志为依据，提高工作决策科学性。工作日志可以让各级管理者对每位员工的工作内容、进度和结果等有直接的了解，本人也可以对自己每天每时的工作做客观的自我评估衡量。通过工作日志的开展，可以为公司及各部门安排下一步工作提供决策依据。 2、以工作日志为载体，提升工作能力。建立工作日志是梳理思路、强化执行、查漏补缺的过程，有利于进一步抓好工作落实，总结工作经验，推进工作开展。 3、以工作日志为镜子，提高工作效率。工作日志反映的不仅是工作态度，还能反映出工作能力。建立工作日志有利于员工自我加压、自我督促，在规定时间内完成工作任务，提高工作效率，优化时间管理。 4、以工作日志为平台，促进学习交流。建立工作日志，有利于部门之间以及员工之间加强交流、相互学习，提高工作质量。 5、以工作日志为桥梁，提升组织绩效。工作日志建立了一种以工作事项达成为桥梁的上下级间正式书面沟通方式，方便督促、指导、激励各级员工努力提高业务素质，改进工作方法、提高工作效率，有效达成工作目标，提升组织绩效。 6、以工作日志为记录，加强绩效考核。建立工作日志，有利于更好地掌握员工日常履职情况，为绩效考核提供较为客观、细致、全面的考核依据。 7、以工作日志为工具，提升职业能力。帮助员工学会时间管理，做到事事有计划、有安排，明确工作方向和节奏，加强自我监督，培养自我总结与规划的习惯，提升工作职业能力。 二、工作日志的功能： 1、提醒作用：在实际工作中，我们可能会同时进行多项工作，屡屡有因处理琐碎小事耽误时间而遗忘处理重要事情的事件，查看工作日志有提醒作用。 2、跟踪作用：不同部门从事不同的工作，分管领导必须保证各部门工作的协调和有效。因此，实时查看和了解中层主管的工作日志是跟踪核查的重要手段。

Windows日志文件解读

Windows日志文件完全解读 日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows 的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1．修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。 2．设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。 1．查看正常开关机记录

任务及日志管理系统建设方案

XXXXXXXXXXX 任务及日志管理系统 建设方案 2012年8月

四.总体设计 错误！未 概述错误! 未定义书签。定义书签。 "系统安全设计一- 建设内容错误! 未定义书签。?错-误！ 需求分析错误! 未定义书签。未定义书签。**业务需求? **任务登记 **日志登记— **日志采集一 **系统管理— ------------ 4误！未定义书签。 ------------- 错-误！未定义书签。 ------------- 错-误！未定义书签。 ------------- 错-误！未定义书签。 ------------- 错-误！未定义书签。 **统计分析-一 "涉及部门或单位错?误！未定义书签。 "用户角色错?误！未定义书签。 "信息安全耍求错?课！未定义书签。 "运维耍求错?误！未定义书签。 错?误！未定义书签。 误！未定义书签。 **业务流程设计错?误！未定义书签. “业务架构设计■错■误！未定义书签。 “业务功能设计错-误！未定义书签。 “普通用户端功能?……错?误！未定义书签。 "部门领导功能错■误！未定义书签。 -流程定义?错■误！未定义书签。 “系统技术架构设计错■误！未定义书签。 ?错?误！未定义书签。 “ J2EE体系结构- 错-误！未定义书签。 ** AJAX界面开发技术?- 错-误！未定义书签。

XXXXXX目前采用传统的方式记载个人的工作情况，如工作日志、领 导交办的任务、任务办理的情况，领导交办任务采用人工电话通知的方式，每天的工作情况全凭人工记载，领导无法查看交办事情的完成情况, 这种现状己经不能满足机构信息化管理的需求，为进一步加强机构工作的科学管理，提高工作效率，需要建立任务和日志管理系统，此系统系统要根据机构的现实要求和特点，设计一套符合机构系统内部信息流转的体系，通过科学技术手段和网络技术实现任务和日志的集中化、批量化、即时化和电子化，提高工作效率。 1、建设内容 机构“任务和日志管理系统”是一套工作管理系统，记载每天的工作日志情况，包括业务系统的日志信息，以及任务办理情况。具体建设内容包括: 建立机构内部统一的、规范的、信息互享互通平台，实现任务登记、 分配、处理等网络流转功能。 自动采集业务系统中的日志数据。 建立流程管理中的安全体系，实现CA认证登陆。 通过网络流转，实现无纸化办公。 建立各种任务和日志的查询、统计分析功能。

如何查看电脑使用记录

一、如何查看电脑开机记录 1.打开“我的电脑”，C盘Windows目录下有很多文件，找到一个SchedLgU.txt（或者开始－运行SchedLgU.txt）。它是“计划任务”的日志，会忠实地记录电脑计划任务的执行情况，还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”，双击“管理工具”，然后打开“事件查看器”，在左边的窗口中选择“系统”选项。单击鼠标右键，在弹出的快捷菜单中选择“属性”，在打开的“系统属性”窗口中选择“筛选器”选项卡，在“事件类型”下面选中“信息”复选项，并在“事件来源”列表中选择“eventlog”选项，继续设定其他条件后，单击“确定”按钮，即可看到需要的事件记录了。双击某条记录，如果描述信息为“事件服务已启动”，那就代表计算机开机或重新启动的时间，如果描述信息是“事件服务已停止”，即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序，文件最前面的为程序名，后面的执行代码不用理他！如果你没有优化过的话~这里面保存的东西应该是非常

有价值的！ 2.看你最近打开过什么文件（非程序）和文件夹(最近打开文件的历史记录)！ "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator （Administrator改成你的用户名）"-"Recent"（或开始－运行－recent）。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始－运行－Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始－文档中可以看到最近使用过的文件。 5. 电脑日志记录：开始/控制面板/性能和维护（经典视图里去掉这个）/管理工具/事件查看器，看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始－运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址，可以在IE里点击历史记录。

任务及日志管理系统建设方案

xxxxxxxxxxx 任务及日志管理系统 建设方案 2012年8月

四、总体设计-------------------- ---------------------------------------------------------------错误！未定义书签。** 系统安全设计 ----------------------------------------------------------------------------错- 误！未定义书签。一、概述-----------------------------------------------------------------------------------------错误！未定义书签。 二、建设内容-----------------------------------------------------------------------------------错误！未定义书签。 三、需求分析-----------------------------------------------------------------------------------错误！未定义书签。 ** 业务需求------------------------------------------------------------------------------------错-误！未定义书签。 ** 任务登记 ----------------------------------------------------------------------------错- 误！未定义书签。 ** 日志登记 ----------------------------------------------------------------------------错- 误！未定义书签。 ** 日志采集 ----------------------------------------------------------------------------错- 误！未定义书签。 ** 系统管理 ----------------------------------------------------------------------------错- 误！未定义书签。 ** 统计分析 ----------------------------------------------------------------------------错- 误！未定义书签。 ** 涉及部门或单位--------------------------------------------------------------------------错-误！未定义书签。 ** 用户角色------------------------------------------------------------------------------------错-误！未定义书签。 ** 信息安全要求-----------------------------------------------------------------------------错-误！未定义书签。 ** 运维要求-----------------------------------------------------------------------------------错-误！未定义书签。 ** 技术要求-----------------------------------------------------------------------------------错-误！未定义书签。 ** 设计原则-----------------------------------------------------------------------------------错-误！未定义书签。 ** 业务流程设计-----------------------------------------------------------------------------错-误！未定义书签。 ** 业务架构设计 ----------------------------------------------------------------------------错- 误！未定义书签。 ** 业务功能设计 ----------------------------------------------------------------------------错-- 误！未定义书签。 ** 普通用户端功能 -------------------------------------------------------------------错- 误！未定义书签。 ** 部门领导功能 ----------------------------------------------------------------------错- 误！未定义书签。 ** 任务提醒 -----------------------------------------------------------------------------错- 误！未定义书签。 ** 查询统计功能 -----------------------------------------------------------------------错- 误！未定义书签。 ** 系统管理 -----------------------------------------------------------------------------错- 误！未定义书签。 ** 流程定义-----------------------------------------------------------------------------错- 误！未定义书签。 ** 系统技术架构设计-----------------------------------------------------------------------错- 误！未定义书签。 ** 技术路线 ----------------------------------------------------------------------------------错- 误！未定义书签。 ** J2EE 体系结构 ---------------------------------------------------------------------错- 误！未定义书签。 ** AJAX 界面开发技术---------------------------------------------------------------错- 误！未定义书签。

Windows日志文件全解读

一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项

系统日志检查管理

系统日志检查管理 一.对各项操作均应进行日志记录，内容应包括操作人、操作时间和操作内容等详细信息。各级维护部门维护人员应每日对操作日志、安全日志进行审查，对异常事件及时跟进解决，并每周形成日志审查汇总意见报上级维护主管部门审核。安全日志应包括但不局限于以下内容： １、对于应用系统，包括系统管理员的所有系统操作记录、所有的登录访问记录、对敏感数据或关键数据有重大影响的系统操作记录以及其他重要系统操作记录的日志； ２、对于操作系统，包括系统管理员的所有操作记录、所有的登录日志； ３、对于数据库系统，包括数据库登录、库表结构的变更记录。二、系统的日常运行维护由专人负责，定期进行保养，并检查系统运行日志。 1.对于应用程序级别的备份需要有运维部制定工程师做每周的备份，重大变更前要整体做备份。 2.对于操作系统的日志备份要通过定制计划任务定期执行，并有制定人员检查运行情况，并登记在案。 3.对于数据库系统的日志备份有DBA制定计划任务定期执行，并有DBA人员检查运行情况，并登记在案。 三. 各级维护部门应针对所维护系统，依据数据变动的频繁程度以及

业务数据重要性制定备份计划，经过上级维护主管部门批准后组织实施。 四. 备份数据应包括系统软件和数据、业务数据、操作日志。 五.重要系统的运行日志要定期异地备份。 说明：出在本地备份，每天晚上同步到异地机房。 六.对系统的操作、使用要进行详细记录。 七.各级维护部门应按照备份计划，对所维护系统进行定期备份，原则上对于在线系统应实施每天一次的增量备份、每月一次的数据库级备份以及每季度一次的系统级备份。对于需实施变更的系统，在变更实施前后均应进行数据备份，必要时进行系统级备份。 八. 各级维护部门应定期对备份日志进行检查，发现问题及时整改补救。 备份操作人员须检查每次备份是否成功，并填写《备份工作汇总记录》，对备份结果以及失败的备份操作处理需进行记录、汇报及跟进。 九.备份介质应由专人管理，与生产系统异地存放，并保证一定的环境条件。除介质保管人员外，其他人员未经授权，不得进入介质存放地点。介质保管应建立档案，对于介质出入库进行详细记录。对于承载备份数据的备份介质，应确保在其安全使用期限内使用。对于需长期保存数据，应考虑通过光盘等方式进行保存。对于有安全使用期限限制的存储介质，应在安全使用期限内更换，确保数据存储安全。

基于Flume的美团日志收集系统

基于Flume的美团日志收集系统(一)架构和设计

Agent 丰 富程度提供丰富的Agent，包括avro/thrift socket, text, tail等 主要是thrift端口 Store丰富程度可以直接写hdfs, text, console, tcp；写 hdfs时支持对text和sequence的压 缩； 提供buffer, network, file(hdfs, text)等 代码结构系统框架好，模块分明，易于开发代码简单 3 美团日志收集系统架构 美团的日志收集系统负责美团的所有业务日志的收集，并分别给Hadoop平台提供离线数据和Storm平台提供实时数据流。美团的日志收集系统基于Flume设计和搭建而成。目前每天收集和处理约T级别的日志数据。 下图是美团的日志收集系统的整体框架图。 a. 整个系统分为三层：Agent层，Collector层和Store层。其中Agent层每个机器部署一个进程，负责对单机的日志收集工作；Collector层部署在中心服务器上，负责接收Agent 层发送的日志，并且将日志根据路由规则写到相应的Store层中；Store层负责提供永久或者临时的日志存储服务，或者将日志流导向其它服务器。 b. Agent到Collector使用LoadBalance策略，将所有的日志均衡地发到所有的Collector上，达到负载均衡的目标，同时并处理单个Collector失效的问题。 c. Collector层的目标主要有三个：SinkHdfs, SinkKafka和SinkBypass。分别提供离线的数据到Hdfs，和提供实时的日志流到Kafka和Bypass。其中SinkHdfs又根据日志量的大小分为SinkHdfs_b，SinkHdfs_m和SinkHdfs_s三个Sink，以提高写入到Hdfs的性能，具体见后面介绍。 d. 对于Store来说，Hdfs负责永久地存储所有日志；Kafka存储最新的7天日志，并给Storm 系统提供实时日志流；Bypass负责给其它服务器和应用提供实时日志流。

最新信息系统日志管理办法

陕西煤业化工集团财务有限公司 信息系统日志管理办法 第一章总则 第一条随着公司信息系统规模的逐步扩大，越来越多的主机、应用系统、网络设备加入到系统网络中，日志安全管理变得越来越复杂。为了规范公司信息系统运行过程中的日志安全管理，为系统运行监控、安全事件跟踪、系统审计等提供真实的日志数据，特制定本办法。 第二条本办法适用于公司信息系统日志安全管理过程。 第二章日志产生管理 第三条为了实时有效的产生必须的日志信息，应开启网络设备、安全设备、操作系统、数据库系统、应用系统等系统日志功能。 第四条一般需开启的日志功能项： （一）记录用户切换产生的日志； （二）系统的本地和远程登陆日志； （三）修改、删除数据； （四）为了掌握系统的性能开支，必须开启系统统计，周期性收集系统运行数据，包括 (CPU utilization, disk I/O等) ，管理人员应经常性查看系统负荷和性能峰值，从而判断系统是否被非法使用或受到过攻击。 第五条安全设备需开启的日志功能项： （一）流量监控的日志信息； （二）攻击防范的日志信息； （三）异常事件日志缺省为打开，可发送到告警缓冲区。 第六条本地日志文件不可以全局可写，通过修改日志的默认权限提高日志系统的安全性，防止非授权用户修改日志信息。 第七条安全日志最大值设置。安全日志最大值:>100MB。 第三章日志采集管理

第八条为了更好的保存日志和后续的处理，应创建专门的日志采集服务器。 第九条在指定用户日志服务器时，日志服务器的IP地址，日志服务器应使用1024以上的UDP端口作为日志接收端口。 第十条日志信息按重要性可按级别、用户、源IP、目的IP、事件、模块进行信息过滤。 第十一条日志要统一考虑各种攻击、事件，将各种日志输出格式、统计信息等内容进行规范，从而保证日志风格的统一和日志功能的严肃性。 第十二条网络设备的管理，配置网络设备的日志发送到日志采集服务器，日志采集服务器对其日志进行格式化、过滤、聚合等操作。 第四章日志审计 第十三条对公司敏感信息操作的相关日志，应对其加大审核的力度和频率。 第十四条网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一次的安全审核，并填相关的网络设备日志审核记录，以及时发现问题，并根据问题采取相应措施。 第十五条重要服务器操作系统的操作记录由系统管理员根据操作系统记录文件对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核，并填相关的服务器操作系统日志审核记录。 第十六条数据库的直接访问修改操作通过人工记录填写相关的数据库访问修改操作审核记录，并由数据库管理员对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核。 第十七条应用系统管理员应根据应用系统自身的日志记录，对应用系统用户操作时的对用户账号、权限的增加、修改、删除，用户识别符、登陆时间、注销时间、操作结果等要素进行每月一次的安全审核，并填制相关的应用系统日志审核记录。 第十八条相关管理员配合安全管理员对系统日志进行定期审计。 第十九条审计日志中的记录不允许在日志中包含密码，具体审计策略由安全管理员协调并配合各管理员制定。 第二十条要保护审计的日志程序和文件，严格控制访问权限。 第二十一条系统管理员的行为（如UNIX中的su）要做日志记录。 第二十二条用户的登录事件要做日志，重要的事件要进行审计跟踪。

30天自制操作系统日志第3天

操作系统实验日志 一、实验主要内容 1、制作真正的IPL，即启动程序加载器，用来加载程序。 添加的代码关键部分如下： MOV AX,0x0820 MOV ES,AX MOV CH,0 ；柱面0 MOV DH,0 ；磁头0 MOV CL,2 MOV AH,0x02 ;AH=0x02:读盘 MOV AL,1 ;执行1个扇区 MOV BX,0 MOV DL,0x00 ; A驱动器（现在都只有一个驱动器了） INT 0x13 ;调用磁盘BIOS JC error 这里有JC指令，是一些特定指令中的一种，后面知识点收录有。JC就是jump if carry，如果进位标志位1的话，就跳转。就是成功调用0x13就会跳转到error处。 INT 0x13又是一个中断，这里AH是0x02的时候是读盘的意思，就是要把磁盘的内容写入到内存中。今天实验用到了4个软中断，都记在知识点里了。 至于CH\DH\CL\AL三个寄存器呢，就分别是柱面号、磁头号、扇区号、执行的扇区数。那么含有IPL的启动区位于：C0-H0-S1 （Cylinder, magnetic Head, Sector） 然后ES\BX和缓冲地址有关。

2、缓冲区地址0x0820 MOV AL,[ES:BX] ; ES*16+BX -> AL 说是原来16位的BX只能表示0~65535，后来就引入了一个段寄存器，用MOV AL,[ES:BX] ; ES*16+BX -> AL这样的方法就可以表示更大的地址，就够当时用了，可以指定1M内存地址了。那么这里我们就是将0X0820赋值给ES，BX为0，这样ES*16后就访问0X8200的地址，那么就是讲软盘数据转载到0X8200到0X83ff的地方。 3、试错以及读满10个柱面 MOV AX,0x0820 MOV ES,AX MOV CH,0 MOV DH,0 MOV CL,2 readloop: MOV SI,0 ; 记录失败的次数，SI达到5就停止 retry: MOV AH,0x02 MOV AL,1 MOV BX,0 MOV DL,0x00 INT 0x13 JNC next ; 没出错就跳到next ADD SI,1 ; SI加一 CMP SI,5 ; SI和5比较 JAE error ; SI >= 5 时跳转到error MOV AH,0x00 MOV DL,0x00 INT 0x13 ; 重置驱动器，看上面AH变为0X00和0X02功能不同 JMP retry next:

日志管理制度

信息系统日志管理 第一章总则 第一条随着公司信息系统规模的逐步扩大，越来越多的主机、应用系统、网络设备加入到系统网络中，日志安全管理变得越来越复杂。为了规范公司信息系统运行过程中的日志安全管理，为系统运行监控、安全事件跟踪、系统审计等提供真实的日志数据，特制定本办法。 第二条本办法适用于公司信息系统日志安全管理过程。 第二章日志产生管理 第三条为了实时有效的产生必须的日志信息，应开启网络设备、安全设备、操作系统、数据库系统、应用系统等系统日志功能。 第四条一般需开启的日志功能项： （一）记录用户切换产生的日志； （二）系统的本地和远程登陆日志； （三）修改、删除数据； （四）为了掌握系统的性能开支，必须开启系统统计，周期性收集系统运行数据，包括 (CPU utilization, disk I/O等) ，管理人员应经常性查看系统负荷和性能峰值，从而判断系统是否被非法使用或受到过攻击。 第五条安全设备需开启的日志功能项： （一）流量监控的日志信息； （二）攻击防范的日志信息； （三）异常事件日志缺省为打开，可发送到告警缓冲区。 第六条本地日志文件不可以全局可写，通过修改日志的默认权限提高日志系统的安全性，防止非授权用户修改日志信息。 第七条安全日志最大值设置。安全日志最大值:>100MB。 第三章日志采集管理 第八条为了更好的保存日志和后续的处理，应创建专门的日志采集服务器。

第九条在指定用户日志服务器时，日志服务器的IP地址，日志服务器应使用1024以上的UDP端口作为日志接收端口。 第十条日志信息按重要性可按级别、用户、源IP、目的IP、事件、模块进行信息过滤。 第十一条日志要统一考虑各种攻击、事件，将各种日志输出格式、统计信息等内容进行规范，从而保证日志风格的统一和日志功能的严肃性。 第十二条网络设备的管理，配置网络设备的日志发送到日志采集服务器，日志采集服务器对其日志进行格式化、过滤、聚合等操作。 第四章日志审计 第十三条对公司敏感信息操作的相关日志，应对其加大审核的力度和频率。 第十四条网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一次的安全审核，并填相关的网络设备日志审核记录，以及时发现问题，并根据问题采取相应措施。 第十五条重要服务器操作系统的操作记录由系统管理员根据操作系统记录文件对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核，并填相关的服务器操作系统日志审核记录。 第十六条数据库的直接访问修改操作通过人工记录填写相关的数据库访问修改操作审核记录，并由数据库管理员对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核。 第十七条应用系统管理员应根据应用系统自身的日志记录，对应用系统用户操作时的对用户账号、权限的增加、修改、删除，用户识别符、登陆时间、注销时间、操作结果等要素进行每月一次的安全审核，并填制相关的应用系统日志审核记录。 第十八条相关管理员配合安全管理员对系统日志进行定期审计。 第十九条审计日志中的记录不允许在日志中包含密码，具体审计策略由安全管理员协调并配合各管理员制定。 第二十条要保护审计的日志程序和文件，严格控制访问权限。 第二十一条系统管理员的行为（如UNIX中的su）要做日志记录。 第二十二条用户的登录事件要做日志，重要的事件要进行审计跟踪。