修改系統日志路徑 保障記錄安全

　　在如今的網絡中，上網的首選工作就是要防黑。結果不外乎兩種，一種是黑客在我們嚴密的立體式防御中損兵折將;另一種就是黑客進入了我們的系統，那它究竟給我們修改了什麼?做了哪些破壞呢?有經驗的網管員通過日志文件就可以知道蛛絲馬跡，搜集到與安全有關的網絡入侵證據(比如相關的IP地址、登錄帳號等信息)。

　　同樣，有頭腦的黑客就會在撤離時用工具或手工方式清除所有的日志內容(俗稱擦腳印或擦PP等)，或者干脆偽造假日志等。因此，對於日志文件的保護一定要慎重，比較可行的簡易辦法是為日志文件搬家，更改其默認的路徑到別人想不到的地方。

　　一、查看默認日志路徑

　　依次打開“控制面板/管理工具/計算機管理”，選中左側窗口中的“事件查看器”，下面則有“應用程序”、“安全性”、“系統”三項。IT八哥網以第一個“應用程序”為例，在上面點擊鼠標右鍵，選擇“屬性”，在“日志名稱” 處顯示Windows2000的默認日志存放路徑為：“c:/winnt/system32/config/appevent.evt”字樣。其他兩項也是如此。

　　接下來，用戶到D盤建立一系列深目錄以存放新日志文件，如D:/01/02/03/04/05/06/07，起名的原則就是要“越不起眼，越好”。

　　二、更改系統注冊表

　　點擊“開始/運行”，輸入“regedit”並回車，即打開注冊表編輯器。找到HKEY_LOCAL_MacHINE/SYSTEM/ CurrentControlSet/Services/Eventlog，三個日志都在其下。還是以應用程序為例，選中“application”後，右側窗口中有個名為“file”的項，它的原始數據是“%systemroot%/system32/config/appevent.evt”，即系統默認的路徑與文件名。雙擊它，在彈出的窗口中修改其值為“d:/01/02/03/04/05/06/07/appevent.evt”，依次類推，再分別把Security和System項下的“file”鍵更改為“d:/01/02/03/04/05/06/07/secevent.evt”和“d:/01/02/03/04/05/06/07/sysevent.evt”，最後按F5刷新一下，關閉注冊表。

　　來到c:/wint/system32/config文件夾下把appenvet.evt、secevent.evt和sysevent.evt這三個日志文件復制並粘貼到新路徑d:/01/02/03/04/05/06/07中。重新啟動機器，再來到“事件查看器”窗口插一下日志文件的屬性，發現路徑名已經更改了。

　　至此，再結合著系統安裝的防火牆和殺毒軟件、木馬檢測軟件進行防護。雖然日志文件搬家的方式不能起到徹底保護的目的，但足可以令實施偷窺的黑客撓頭了，感興趣的朋友試試吧!