如果用事件日誌進行黑客跟蹤系統,那麼就必須儲存它們。從“設定日誌檔案大小”這項功能中,我們知道系統中的事件記錄不可能無限制的被記錄下來,要儲存以前的事件日誌記錄,我們就得用“事件檢視器”提供的儲存功能。這樣我們可以按需檢視各時段的事件日誌了。
首先選擇要儲存的日誌型別,然後單擊“操作"選單下的“另存日誌檔案...”命令,最後在彈出的對話方塊中設定儲存的檔名與檔案型別(evt、txt、csv三種格式)單擊“儲存”按鈕。
系統日誌管理
系統管理有三種日誌:安全日誌、系統日誌和應用程式日誌
修改事件日誌檔案存放路徑
選單開始——執行輸入regedit回車鍵,開啟登錄檔。如圖
<系統日誌> 開啟登錄檔,展開分支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\System,然後雙擊右側窗格中的File值,開啟字串的對話方塊。系統預設的存放路徑是% SystemRoot%\System32\Config\SysEvent.Evt改為E:\SysEvent.Evt單擊確定。這時可以根據自己的需要設定新的存放路徑,如圖
<應用程式日誌>
開啟登錄檔編輯器,展開分支:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\EventLog\Application,雙擊並修改右側視窗中的File值,開啟字串的對話方塊。系統預設的存放路徑是% SystemRoot%\System32\Config\AppEvent.Evt,這時可以根據自己的需要設定新的存放路徑,如圖
<安全日誌>
開啟登錄檔編輯器,展開如下分支:
HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Services\EventLog\Security,雙擊並修改右側視窗中的File鍵值,開啟字串的對話方塊。系統預設的存放路徑是% SystemRoot%\System32\Config\SecEvent.Evt,這時可以根據自己的需要設定新的存放路徑,如圖
完成修改後,重新啟動計算機即可使修改生效。
注意事項
X盤隨便存放(如D:\ E:\ F:\)