Windows 2000日志的描述及删除

点击属性里的“清除日志”按钮，OK！安全日志清除完毕！同样的忍受痛苦去清除系统日志！

目前在不借助第三工具的情况下，能很快，很顺利地清除FTP、WWW还有Schedlgu日志，就是系统日志和安全日志属于Windows2000的严密守护，只能用本地的事件查看器来打开它，因为在图形界面下，加之网速又慢，如果你银子多，时间闲，还是可以清除它的。综上所述，介绍了Windows2000的日志文件以及删除方法，但是你必须是Administrator，注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机，也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。

终端方式登录的日志记录

关于用远程终端服务登录服务器日志究竟会不会被纪录？何种情况下才能纪录日志？做了以下测试。

这里先交待一下：
服务器名：ABUSERVER
客户机名：ABUPC13 客户机的IP：192.168.0.13

登录所用的帐号：Administrator
本地安全策略里面开启：审核登录事件

测试一：
用终端服务的方式登录服务器，并正常注销退出，查看安全审核的日志记录如下：
登录成功:
用户名: Administrator
域: ABUSERVER

登录 ID: (0x0,0x1D0B52)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER

用户注销:
用户名: Administrator
域: ABUSERVER

登录 ID: (0x0,0x1D0B52)
登录类型: 2

很奇怪吧，因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时纪录的工作站名: ABUSERVER （这不是服务器的名字嘛）

测试二：
正常登录上服务器以后，选择断开，临时中断当前会话，然后再次使用客户端连接上服务器，在安全日志里出现了以下记录：
　
会话从 winstation 中断连接:
用户名: administrator
域: ABUSERVER
登录 ID: (0x0,0x1D0B52)
会话名称: Unknown
客户端名: ABUPC13
客户端地址: 192.168.0.13

会话被重新连接到 winstation:
用户名: administrator
域: ABUSERVER
登录 ID: (0x0,0x1BE7BA)
会话名称: RDP-Tcp#7
客户端名: ABUPC13
客户端地址: 192.168.0.13
这次，自己客户机名以及当时的IP都被记录下来了。

测试三：
正常连接服务器，输入错误的密码，再输入到第6次(缺省安全配置情况下）终端服务窗口关闭。

重新连接登录后，检查日志出现以下纪录：

在系统日志里：
来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。

在安全日志里：
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: ABUSERVER
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER

到这里，分析了各种不同环境下登录终端服务器的日志纪录效果。 这样看来，是不是清楚了很多？也许有朋友会奇怪为什么在第一个日志记录中，工作站名也是服务器的名称而不是我用来登录的客户机的名称。 原因是因为在以终端方式登录的时候，系统实际上是以 虚拟桌面、本地登录 的方式进行记录，自然没有对真正 用户的纪录咯。

所以总结如下：
1、当一个用户以终端方式登录服务器的时候，如果正常退出，服务器上的日志中，将不会记录你的IP，机器名。
2、当用户以终端方式登录后又发生了中断，这时候系统才会纪录客户机的IP以及机器名。
3、当密码输入错误导致连接终止时，在系统日志里会留下客户机的机器名信息。

系统在纪录终端方式的客户机IP地址的时候，如果你的客户机处于一个局域网中，通过透明网关的方式访问服务器，在服务器上留下的IP也只是你内网的IP地址，看来，单纯依靠微软的日志纪录，还是难免会有疏漏的。