\\192.168.1.100\XXXXX 這樣就可以開那個10個檔案的資料夾
\\XXXXSERVER\XXXXX 這樣就沒辦法了
這是 Windows 的電腦名稱(NETBIOS name)的名稱解析(從電腦名稱查到 IP
address)問題. 無法查到 XXXXSERVER 的 IP address.
解決方法有幾種:
1.在每部電腦的 lmhosts 檔案裡, 加上對應
192.168.1.100 XXXSERVER #PRE
2.架設 WINS server,透過 DHCP server 發佈 WINS server address 給所有電腦
3.使用 DNS, 設定 XXXXSERVER.domain name 對應到 192.168.1.100
使用 \\XXXSERVER.domain name\XXXXX 的方式去開共享資料夾.
2010年11月30日 星期二
2010年11月25日 星期四
2010年11月22日 星期一
2010年11月18日 星期四
Windows系統日誌管理
今日公司有台SERVER被入侵,修改了帳號密碼,應該也有植入木馬程式………還好前陣子把環境移植到 VM ESXi Server環境,對系統做了備份,故今日很快的恢復系統運作,但對於被入侵的Server,看不出端倪,因為系統日誌檔被刪除了,但對外防火牆的記錄看不出有任何對該台Server異常連線的記錄,故有點擔心是由內部引起的………
已請管理的同事對該台Server做了一些安全上的設定:
1.找時間關閉Guest,要連線請都使用帳號密碼連線(無AD就將使用者本機帳號密碼也建立一份在SERVER上),分享目錄請把Everyone權限拿掉,改特定帳號密碼。
2.關閉奇怪的帳號 kurt$ , 這帳號既然有本機Admin權限。怎麼來的也不清楚,只知道是廠商裝完系統後出現的帳號。
找了一下怎麼備份日誌檔,雖然並不能百分百記錄到駭客入侵前所有記錄,但多一份備份就多一份機會找出問題點,當然希望以後是用不到才是。
=======================================
文章出處:http://forum.slime.com.tw/thread65618.html
日誌對於系統安全的作用是顯而易見的,無論是網路管理員還是黑客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全效能,而一個聰明的黑客往往會在入侵成功 後迅速清除掉對自己不利的日誌。下面我們就來討論一下日誌的安全和新增問題。
一:概述:
Windows 2000的系統日誌文件有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌等等,應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設文件大小512KB。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT
系統日誌文件:%systemroot%\system32\config\SysEvent.EVT
應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT
這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。
二:作為網路管理員:
1.日誌的安全配置:
預設的條件下,日誌的大小為512KB大小,如果超出則會報錯,並且不會再記錄任何日誌。所以首要工作是更改預設大小,具體方法:註冊表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對應的每個日誌如系統,安全,應用程式等均有一個maxsize子鍵,修改即可。
下面給出一個來自微軟站點的一個指令碼,利用VMI來設定日誌最大25MB,並允許日誌自行覆蓋14天前的日誌:
該指令碼利用的是WMI對像, WMI(Windows Management Instrumentation)技術是微軟提供的Windows下的系統系統管理工具。通過該工具可以在本機或者管理客戶端系統中幾乎一切的信息。很多專業的網路系統管理工具都是關於WMI開發的。該工具在Win2000以及WinNT下是標準工具,在Win9X下是擴展安裝選項。所以以下的程式碼在2000以上均可執行成功。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" & _
strComputer & "\root\cimv2") \’獲得VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
& "Win32_NTEventlogFile.Name=\’" & strLogFileName & "\’")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
將上述指令碼用記事本儲存碟為vbs為後面的即可使用。
另外需要說明的是程式碼中的strComputer="."在Windows指令碼中的含義相當於localhost,如果要在遠端主機上執行程式碼,只需要把"."改動為主機名,當然首先得擁有對方主機的管理員權限並建立IPC連接.本文中的程式碼所出現的strComputer均可作如此改動。
2. 日誌的查詢與制作備份:
一個優秀的管理員是應該養成制作備份日誌的習慣,如果有條件的話還應該把日誌轉存到制作備份電腦上或直接轉儲到列印機上,在這裡推薦微軟的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 輸出日誌的位置和檔案名
-s \\server 輸出遠端電腦日誌
-l log log 可選的為system,security,application,可能還有別的如DNS等.
如要把目標伺服器server上的系統日誌轉存為backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用計劃工作可以實現定期制作備份系統日誌。
另外利用指令碼編程的VMI對象也可以輕而易舉的實現日誌制作備份:
下面給出制作備份application日誌的程式碼:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2") \’獲得 VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’Application\’") \’獲取日誌對像中的應用程式日誌
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:\application.evt") \’將日誌制作備份為f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序說明:如果制作備份成功將視窗提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處制作備份的日誌為application 制作備份位置為f:\application.evt,可以自行修改,此處制作備份的格式為evt的原始格式,用記事本開啟則為亂碼,這一點他不如dumpel用得方便。
三:作為黑客
1、日至清除
一個入侵系統成功後的黑客第一件事便是清除日誌,如果以圖形界面遠端控制對方機器或是從終端登入進入,刪除日誌不是一件困難的事,由於日誌雖然也是作為一種服務執行,但不同於http,ftp這樣的服務,可以在指令行下先停止,再刪除,在m指令行下用net stop eventlog是不能停止的,所以有人認為在指令行下刪除日誌是很困難的,實際上不是這樣,下面介紹幾種方法:
(1)借助第三方工具:如小榕的elsave.exe遠端清除system,applicaton,security的軟體,使用方法很簡單,首先利用獲得的管理員帳號與對方建立ipc會話,net use \\ip pass /user: user
然後指令行下:elsave -s \\ip -l application -C,這樣就刪除了安全日誌。
其實利用這個軟體還可以進行制作備份日誌,只要加一個參數 -f filename就可以了,在此不再詳述。
(2)利用指令碼編程中的VMI,也可以實現刪除日誌,首先獲得object對象,然後利用其clearEventLog()方法刪除日誌。來源碼:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’"&logs&"\’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的程式碼中,建立一個陣列,為application,security,system如果還有其他日誌也可以加入陣列。
然後用一個for 循環,刪除陣列中的每一個元素,即各個日誌.
2、新增日誌:
刪除日誌後,任何一個有頭腦的管理員面對空空的日誌,馬上就會反應過來被入侵了,所以一個聰明的黑客的學會如何偽造日誌:
(1)利用指令碼編程中的eventlog方法是創造日誌變得非常簡單;下面看一個程式碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" \’新增一個成功執行日誌
這個程式碼很容易閱讀,首先獲得wscript的一個shell對象,然後利用shell對象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 為日誌類型,可以使用的如下:0 代表成功執行;1 執行出錯;2 警告;4 信息;8 成功審計;16 故障審計
所以上面程式碼中,把0改為1,2,4,8,16均可,引號下的為日誌描述。
這種方法寫的日誌有一個缺點,只能寫到應用程式日誌,而且日至來源只能為wsh,即Windows scripting host,所以不能起太多的隱蔽作用。
(2)微軟為了方便系統管理員和程序員,在xp下有個新的指令行工具,eventcreate.exe,利用它,新增日誌更加簡單。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含義:-s 為遠端主機新增日誌: -u 遠端主機的用戶名 -p 遠端主機的用戶密碼
-l 日誌;可以新增system和application 不能新增security日誌,
-so 日誌來源,可以是任何日誌 -t 日誌類型 如information信息,error錯誤,warning 警告,
-d 日誌描述,可以是任意語句 -id 自主日誌為1-1000之內
例如,我們要本機新增一個系統日誌,日至來源為admin,日誌類型是警告,描述為"this is a test",事件ID為500
可以用如下參數
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個工具不能新增安全日誌。至於如何新增安全日誌,希望大家能夠找到一個好方法!
=================================================================
另一篇使用Script自動備份維護LOG檔
文章出處:http://jiemelody.blog.51cto.com/405459/331906
前言:
在管理windows平台的服務器時,常常在系統發生問題或是服務器上運行的服務發生異常時,我們第一個一定是先打開"事件檢查器" 來查看Eventlog,查看是不是有異常的訊息產生,但是windows的log產生默認下是不會以日期來自動備份的,往往要找一個問題都要在一堆 log裡翻呀找呀,好不方便,如果能夠每天在午夜12點59分整以全文字檔備份每天的eventlog,那我們就可以在問題發生時,把我們要查找的 eventlog以照日期調閱出來,方便又快速~以下小弟我就寫了一個很小但又方便的dos scripts提供給大家參考囉!
一.實作:
首先scripts的組成有以下三個檔案
1.Dump_eventlog.cmd –>這支Scripts是把eventlog Dump出來共以全文字檔 txt來存檔
2.dumpel.exe –>這是一支工具程式,因為如果用windows內建的匯出eventlog功能,匯出來的後綴檔名是.evt,以文字編程工具打開來會是亂碼,一定要用windows的事件檢查器打來看才行,那就太煩人了,所以我們用這支程式加上上一支 scripts就可以匯出後綴檔名為.txt的log檔,要查看就方便多了!
3.del_eventlog.vbs –>這支是用wsh編程編寫的scripts,功用是清空系統的eventlog記錄,有人要問了,我們不是要備份log嗎為什麼需要這支來刪除呀!
還記得剛才說的嗎?我們是要備份每天的系統Log檔,所以用排程排定在每天的午夜12:59備份系統Log後,就利用這支scripts清空系統裡舊的 log,那樣我們每天備份的eventlog就會是完完整整的一整天,而不是好幾天混雜在一起的log備份!
二.代碼說明
接下來我就要解說代源的寫法囉
1.Dump_eventlog.cmd
———————————- 源代碼 ————————————————————
@echo Off
mkdir %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%
@echo ******* start Backup Eventlog ******
dumpel -s 127.0.0.1 -l system -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/system.log
dumpel -s 127.0.0.1 -l application -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/application.log
dumpel -s 127.0.0.1 -l security -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/security.log
@echo ******* Finish Backup Eventlog ******
star /min del_eventlog.vbs
———————————————————————————————————
說明:
代碼不含上下二條虛線喔!第二行是我們要建立一個以日期為名稱的資料夾
因為windows的date抓取的日期變數會是2005/02/23 星期三"這樣的文字,其內的斜線(/)或減號(-)都是用做命令列的選項符號,這樣的組合可能會造成錯誤。
在此最簡單的方法便是用環境變數的擴充功能了,用%DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%,我們就可以抓取以 2006-10-20這種格式的日期,4~6行則是利用dumpel 這支程式把 security 、application 、system 三項log記錄匯出來以txt檔備份到以當天日期命名的資料夾裡,ip我是用本機,請依照自己的需要改成你自己主機的ip,star /min del_eventlog.vbs這行則是在備份完之後清空系統的log記錄,原因,前面我們己經說過了!把上面的源碼copy並存成.bat或.cmd 的檔名就可以了!
2.del_eventlog.vbs
————————————-源代碼 ———————————————————–
‘刪除Evenlog
strComputer= "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles=objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=’"&logs&"’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
Next
———————————————————————————————————
說明:
代碼不包含上下二條虛線喔!這支是清空系統eventlog的wsh編程 scripts,這裡就不多做介紹了,有興趣可以到微軟的腳本範例網站看看,上面有對wsh的做很多的介紹也有範例檔可下來研究!
http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx
以上三支scripts我有提供我寫好的碼代碼在附件裡,大家可以玩看看,歡迎修改,
eventlog的備份也許有些人覺得沒什麼重要,但以筆者我,在管理大量主機時,尤其我又是管理線上遊戲服務器,對於系統異常狀況的掌控就是非常重要的了~
參考至:http://blog.infinity.idv.tw/index.php/2010/11/02/windows%E7%B3%BB%E7%B5%B1%E6%97%A5%E8%AA%8C%E7%AE%A1%E7%90%86/
已請管理的同事對該台Server做了一些安全上的設定:
1.找時間關閉Guest,要連線請都使用帳號密碼連線(無AD就將使用者本機帳號密碼也建立一份在SERVER上),分享目錄請把Everyone權限拿掉,改特定帳號密碼。
2.關閉奇怪的帳號 kurt$ , 這帳號既然有本機Admin權限。怎麼來的也不清楚,只知道是廠商裝完系統後出現的帳號。
找了一下怎麼備份日誌檔,雖然並不能百分百記錄到駭客入侵前所有記錄,但多一份備份就多一份機會找出問題點,當然希望以後是用不到才是。
=======================================
文章出處:http://forum.slime.com.tw/thread65618.html
日誌對於系統安全的作用是顯而易見的,無論是網路管理員還是黑客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全效能,而一個聰明的黑客往往會在入侵成功 後迅速清除掉對自己不利的日誌。下面我們就來討論一下日誌的安全和新增問題。
一:概述:
Windows 2000的系統日誌文件有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌等等,應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設文件大小512KB。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT
系統日誌文件:%systemroot%\system32\config\SysEvent.EVT
應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT
這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。
二:作為網路管理員:
1.日誌的安全配置:
預設的條件下,日誌的大小為512KB大小,如果超出則會報錯,並且不會再記錄任何日誌。所以首要工作是更改預設大小,具體方法:註冊表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對應的每個日誌如系統,安全,應用程式等均有一個maxsize子鍵,修改即可。
下面給出一個來自微軟站點的一個指令碼,利用VMI來設定日誌最大25MB,並允許日誌自行覆蓋14天前的日誌:
該指令碼利用的是WMI對像, WMI(Windows Management Instrumentation)技術是微軟提供的Windows下的系統系統管理工具。通過該工具可以在本機或者管理客戶端系統中幾乎一切的信息。很多專業的網路系統管理工具都是關於WMI開發的。該工具在Win2000以及WinNT下是標準工具,在Win9X下是擴展安裝選項。所以以下的程式碼在2000以上均可執行成功。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" & _
strComputer & "\root\cimv2") \’獲得VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
& "Win32_NTEventlogFile.Name=\’" & strLogFileName & "\’")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
將上述指令碼用記事本儲存碟為vbs為後面的即可使用。
另外需要說明的是程式碼中的strComputer="."在Windows指令碼中的含義相當於localhost,如果要在遠端主機上執行程式碼,只需要把"."改動為主機名,當然首先得擁有對方主機的管理員權限並建立IPC連接.本文中的程式碼所出現的strComputer均可作如此改動。
2. 日誌的查詢與制作備份:
一個優秀的管理員是應該養成制作備份日誌的習慣,如果有條件的話還應該把日誌轉存到制作備份電腦上或直接轉儲到列印機上,在這裡推薦微軟的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 輸出日誌的位置和檔案名
-s \\server 輸出遠端電腦日誌
-l log log 可選的為system,security,application,可能還有別的如DNS等.
如要把目標伺服器server上的系統日誌轉存為backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用計劃工作可以實現定期制作備份系統日誌。
另外利用指令碼編程的VMI對象也可以輕而易舉的實現日誌制作備份:
下面給出制作備份application日誌的程式碼:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2") \’獲得 VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’Application\’") \’獲取日誌對像中的應用程式日誌
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:\application.evt") \’將日誌制作備份為f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序說明:如果制作備份成功將視窗提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處制作備份的日誌為application 制作備份位置為f:\application.evt,可以自行修改,此處制作備份的格式為evt的原始格式,用記事本開啟則為亂碼,這一點他不如dumpel用得方便。
三:作為黑客
1、日至清除
一個入侵系統成功後的黑客第一件事便是清除日誌,如果以圖形界面遠端控制對方機器或是從終端登入進入,刪除日誌不是一件困難的事,由於日誌雖然也是作為一種服務執行,但不同於http,ftp這樣的服務,可以在指令行下先停止,再刪除,在m指令行下用net stop eventlog是不能停止的,所以有人認為在指令行下刪除日誌是很困難的,實際上不是這樣,下面介紹幾種方法:
(1)借助第三方工具:如小榕的elsave.exe遠端清除system,applicaton,security的軟體,使用方法很簡單,首先利用獲得的管理員帳號與對方建立ipc會話,net use \\ip pass /user: user
然後指令行下:elsave -s \\ip -l application -C,這樣就刪除了安全日誌。
其實利用這個軟體還可以進行制作備份日誌,只要加一個參數 -f filename就可以了,在此不再詳述。
(2)利用指令碼編程中的VMI,也可以實現刪除日誌,首先獲得object對象,然後利用其clearEventLog()方法刪除日誌。來源碼:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’"&logs&"\’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的程式碼中,建立一個陣列,為application,security,system如果還有其他日誌也可以加入陣列。
然後用一個for 循環,刪除陣列中的每一個元素,即各個日誌.
2、新增日誌:
刪除日誌後,任何一個有頭腦的管理員面對空空的日誌,馬上就會反應過來被入侵了,所以一個聰明的黑客的學會如何偽造日誌:
(1)利用指令碼編程中的eventlog方法是創造日誌變得非常簡單;下面看一個程式碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" \’新增一個成功執行日誌
這個程式碼很容易閱讀,首先獲得wscript的一個shell對象,然後利用shell對象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 為日誌類型,可以使用的如下:0 代表成功執行;1 執行出錯;2 警告;4 信息;8 成功審計;16 故障審計
所以上面程式碼中,把0改為1,2,4,8,16均可,引號下的為日誌描述。
這種方法寫的日誌有一個缺點,只能寫到應用程式日誌,而且日至來源只能為wsh,即Windows scripting host,所以不能起太多的隱蔽作用。
(2)微軟為了方便系統管理員和程序員,在xp下有個新的指令行工具,eventcreate.exe,利用它,新增日誌更加簡單。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含義:-s 為遠端主機新增日誌: -u 遠端主機的用戶名 -p 遠端主機的用戶密碼
-l 日誌;可以新增system和application 不能新增security日誌,
-so 日誌來源,可以是任何日誌 -t 日誌類型 如information信息,error錯誤,warning 警告,
-d 日誌描述,可以是任意語句 -id 自主日誌為1-1000之內
例如,我們要本機新增一個系統日誌,日至來源為admin,日誌類型是警告,描述為"this is a test",事件ID為500
可以用如下參數
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個工具不能新增安全日誌。至於如何新增安全日誌,希望大家能夠找到一個好方法!
=================================================================
另一篇使用Script自動備份維護LOG檔
文章出處:http://jiemelody.blog.51cto.com/405459/331906
前言:
在管理windows平台的服務器時,常常在系統發生問題或是服務器上運行的服務發生異常時,我們第一個一定是先打開"事件檢查器" 來查看Eventlog,查看是不是有異常的訊息產生,但是windows的log產生默認下是不會以日期來自動備份的,往往要找一個問題都要在一堆 log裡翻呀找呀,好不方便,如果能夠每天在午夜12點59分整以全文字檔備份每天的eventlog,那我們就可以在問題發生時,把我們要查找的 eventlog以照日期調閱出來,方便又快速~以下小弟我就寫了一個很小但又方便的dos scripts提供給大家參考囉!
一.實作:
首先scripts的組成有以下三個檔案
1.Dump_eventlog.cmd –>這支Scripts是把eventlog Dump出來共以全文字檔 txt來存檔
2.dumpel.exe –>這是一支工具程式,因為如果用windows內建的匯出eventlog功能,匯出來的後綴檔名是.evt,以文字編程工具打開來會是亂碼,一定要用windows的事件檢查器打來看才行,那就太煩人了,所以我們用這支程式加上上一支 scripts就可以匯出後綴檔名為.txt的log檔,要查看就方便多了!
3.del_eventlog.vbs –>這支是用wsh編程編寫的scripts,功用是清空系統的eventlog記錄,有人要問了,我們不是要備份log嗎為什麼需要這支來刪除呀!
還記得剛才說的嗎?我們是要備份每天的系統Log檔,所以用排程排定在每天的午夜12:59備份系統Log後,就利用這支scripts清空系統裡舊的 log,那樣我們每天備份的eventlog就會是完完整整的一整天,而不是好幾天混雜在一起的log備份!
二.代碼說明
接下來我就要解說代源的寫法囉
1.Dump_eventlog.cmd
———————————- 源代碼 ————————————————————
@echo Off
mkdir %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%
@echo ******* start Backup Eventlog ******
dumpel -s 127.0.0.1 -l system -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/system.log
dumpel -s 127.0.0.1 -l application -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/application.log
dumpel -s 127.0.0.1 -l security -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/security.log
@echo ******* Finish Backup Eventlog ******
star /min del_eventlog.vbs
———————————————————————————————————
說明:
代碼不含上下二條虛線喔!第二行是我們要建立一個以日期為名稱的資料夾
因為windows的date抓取的日期變數會是2005/02/23 星期三"這樣的文字,其內的斜線(/)或減號(-)都是用做命令列的選項符號,這樣的組合可能會造成錯誤。
在此最簡單的方法便是用環境變數的擴充功能了,用%DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%,我們就可以抓取以 2006-10-20這種格式的日期,4~6行則是利用dumpel 這支程式把 security 、application 、system 三項log記錄匯出來以txt檔備份到以當天日期命名的資料夾裡,ip我是用本機,請依照自己的需要改成你自己主機的ip,star /min del_eventlog.vbs這行則是在備份完之後清空系統的log記錄,原因,前面我們己經說過了!把上面的源碼copy並存成.bat或.cmd 的檔名就可以了!
2.del_eventlog.vbs
————————————-源代碼 ———————————————————–
‘刪除Evenlog
strComputer= "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles=objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=’"&logs&"’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
Next
———————————————————————————————————
說明:
代碼不包含上下二條虛線喔!這支是清空系統eventlog的wsh編程 scripts,這裡就不多做介紹了,有興趣可以到微軟的腳本範例網站看看,上面有對wsh的做很多的介紹也有範例檔可下來研究!
http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx
以上三支scripts我有提供我寫好的碼代碼在附件裡,大家可以玩看看,歡迎修改,
eventlog的備份也許有些人覺得沒什麼重要,但以筆者我,在管理大量主機時,尤其我又是管理線上遊戲服務器,對於系統異常狀況的掌控就是非常重要的了~
參考至:http://blog.infinity.idv.tw/index.php/2010/11/02/windows%E7%B3%BB%E7%B5%B1%E6%97%A5%E8%AA%8C%E7%AE%A1%E7%90%86/
UPS分類
網路上查不斷電系統大概分:
1. 在線式(On Line):
電力先經過UPS的逆變器,輸出電力最穩定,只有在UPS故障或過熱時,電力才會由旁路輸出。
在線式的特點:
1)輸出至負載的電力先經UPS處理,輸出電源品質最高。
2)結構複雜,成本較高。
3)無須轉換時間。
4)保護性最高,對市電雜訊、突波衰減能力最佳。
2.離線式(Off Line):
平常電源供應正常時,市電會走另外一條路徑直接供給系統電力,遇到電力中斷時才會經由逆變器轉會為交流電,由電池傳送電力。
離線式UPS的特點:
1)對市電的雜訊和突波衰減保護能力較差,市電未中斷或正常時,UPS對市電幾無處理而直接輸出至負載。
2)構造簡單、體積較小、成本較低、重量較輕。
3)需要轉換時間。
在線互動式(Line-Interactive):
在線互動式UPS的逆電器平時作為充電器,由旁路經變壓器輸出給負載。當市電中斷時逆變器會將電池轉為交流電輸出。
在線互動式的特點:
1)保護性介於在線式與離線式UPS之間,對市電雜訊,突波衰減保護能力較差。
2)需要轉換時間。
3)結構複雜,成本較高。
4)雙向性轉換器的設計,UPS電池回充時間較短。
1. 在線式(On Line):
電力先經過UPS的逆變器,輸出電力最穩定,只有在UPS故障或過熱時,電力才會由旁路輸出。
在線式的特點:
1)輸出至負載的電力先經UPS處理,輸出電源品質最高。
2)結構複雜,成本較高。
3)無須轉換時間。
4)保護性最高,對市電雜訊、突波衰減能力最佳。
2.離線式(Off Line):
平常電源供應正常時,市電會走另外一條路徑直接供給系統電力,遇到電力中斷時才會經由逆變器轉會為交流電,由電池傳送電力。
離線式UPS的特點:
1)對市電的雜訊和突波衰減保護能力較差,市電未中斷或正常時,UPS對市電幾無處理而直接輸出至負載。
2)構造簡單、體積較小、成本較低、重量較輕。
3)需要轉換時間。
在線互動式(Line-Interactive):
在線互動式UPS的逆電器平時作為充電器,由旁路經變壓器輸出給負載。當市電中斷時逆變器會將電池轉為交流電輸出。
在線互動式的特點:
1)保護性介於在線式與離線式UPS之間,對市電雜訊,突波衰減保護能力較差。
2)需要轉換時間。
3)結構複雜,成本較高。
4)雙向性轉換器的設計,UPS電池回充時間較短。
2010年11月17日 星期三
如何在excel中使用"郵件收件者(當作附件)"這項功能
所以在安裝office 2003沒有安裝microsoft office outlook
所以一開始在excel的檔案中是沒有"傳送到"這個功能
但是我已經去控制台中改預設電子郵件為outlook express
修改完已經在檔案中有出現"傳送到"這個功能,但是裡面卻沒有郵件收件者(當作附件),
這個功能所以想請教大家要如果設定,謝謝??
答:
修改 Regedit
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Messaging Subsystem]
"InstallCmd"="rundll32 setupapi,InstallHinfSection MSMAIL 132 msmail.inf"
"MAPI"="1"
"CMCDLLNAME"="mapi.dll"
"CMC"="1"
"CMCDLLNAME32"="mapi32.dll"
"MAPIX"="1"
"MAPIXVER"="1.0.0.1"
"OLEMessaging"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Messaging Subsystem\MSMapiApps]
"inetsw95.exe"=""
"choosusr.dll"=""
參考至:http://www.clyt.com.tw/index.php?option=com_content&view=article&id=209:excelqq&catid=1:2009-12-07-08-27-57
所以一開始在excel的檔案中是沒有"傳送到"這個功能
但是我已經去控制台中改預設電子郵件為outlook express
修改完已經在檔案中有出現"傳送到"這個功能,但是裡面卻沒有郵件收件者(當作附件),
這個功能所以想請教大家要如果設定,謝謝??
答:
修改 Regedit
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Messaging Subsystem]
"InstallCmd"="rundll32 setupapi,InstallHinfSection MSMAIL 132 msmail.inf"
"MAPI"="1"
"CMCDLLNAME"="mapi.dll"
"CMC"="1"
"CMCDLLNAME32"="mapi32.dll"
"MAPIX"="1"
"MAPIXVER"="1.0.0.1"
"OLEMessaging"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Messaging Subsystem\MSMapiApps]
"inetsw95.exe"=""
"choosusr.dll"=""
參考至:http://www.clyt.com.tw/index.php?option=com_content&view=article&id=209:excelqq&catid=1:2009-12-07-08-27-57
請問VISTA和XP的網路上的芳鄰設定問題?
要讓 Vista 能夠看到 網路上 XP 的電腦,請在 XP 的電腦上安裝「連結層拓撲探索(LLTD) 回應程式」
http://www.microsoft.com/downloads/details.aspx?FamilyID=4f01a31d-ee46-481e-ba11-37f485fa34ea&DisplayLang=zh-tw
要讓 XP 可以連線到 Vista,請在 XP Pro 的電腦中:
依序按下「開始」、「執行」,在「開啟」文字方塊中,鍵入「secpol.msc」並按下 Enter 鍵
依序展開「本機原則」、「安全性選項」
找到「網路安全性:LAN Manager 驗證層級」,在其上,連按兩下滑鼠左鍵
於「本機安全性設定」索引標籤中,設定為「只傳送 NTLMv2 回應\拒絕 LM 和 NTLM」
參考至:http://social.technet.microsoft.com/Forums/zh-TW/windowsvistazhcht/thread/5ae32b47-fbdb-4a41-a6a3-7260206f1557
http://www.microsoft.com/downloads/details.aspx?FamilyID=4f01a31d-ee46-481e-ba11-37f485fa34ea&DisplayLang=zh-tw
要讓 XP 可以連線到 Vista,請在 XP Pro 的電腦中:
依序按下「開始」、「執行」,在「開啟」文字方塊中,鍵入「secpol.msc」並按下 Enter 鍵
依序展開「本機原則」、「安全性選項」
找到「網路安全性:LAN Manager 驗證層級」,在其上,連按兩下滑鼠左鍵
於「本機安全性設定」索引標籤中,設定為「只傳送 NTLMv2 回應\拒絕 LM 和 NTLM」
參考至:http://social.technet.microsoft.com/Forums/zh-TW/windowsvistazhcht/thread/5ae32b47-fbdb-4a41-a6a3-7260206f1557
2010年11月15日 星期一
mail退信
********************
The original message was received at Thu, 11 Nov 2010 14:08:52 +0800 (CST)
from mail.newheart.com.tw [60.248.87.180]
----- The following addresses had permanent fatal errors -----
----- Transcript of session follows -----
... while talking to mail.newheart.com.tw.:
>>> RCPT To:
<<< 550 Your ip (168.95.4.130) was listed in Spammer list. Please visit http://www.dnsbl.sorbs.net/cgi-bin/lookup?IP=168.95.4.130 for more details.
550... User unknown
*****************
發生原因:阿姊寄給sara退件訊息,共寄七封,退回三封(最早寄的三封)
排除方法:因為被newheart.com.tw參考Spammer,因為中華電信被加入垃圾參考,所以被newheart.com.tw所退件,故需要將ms26.hinet.net,加入白名單
The original message was received at Thu, 11 Nov 2010 14:08:52 +0800 (CST)
from mail.newheart.com.tw [60.248.87.180]
----- The following addresses had permanent fatal errors -----
----- Transcript of session follows -----
... while talking to mail.newheart.com.tw.:
>>> RCPT To:
<<< 550 Your ip (168.95.4.130) was listed in Spammer list. Please visit http://www.dnsbl.sorbs.net/cgi-bin/lookup?IP=168.95.4.130 for more details.
550
*****************
發生原因:阿姊寄給sara退件訊息,共寄七封,退回三封(最早寄的三封)
排除方法:因為被newheart.com.tw參考Spammer,因為中華電信被加入垃圾參考,所以被newheart.com.tw所退件,故需要將ms26.hinet.net,加入白名單
2010年11月11日 星期四
adobe PDFMaker 無法轉檔之問題
PDFMaker 無法轉檔之問題 分類:軟體2006/08/24 10:30在專案執行中,常常會需要交付許多文件。而我通常習慣將所需要交付的轉換成 PDF 的格式,交付給客戶或者是協力廠商,最主要不會因為客戶的作業系統環境,造成文件格式的錯誤外,也可以避免被其他人隨意亂改報告內容。
最 近在趕一份專案的期中報告,在 Final 整合的時候,依舊慣例的習慣在 File Explorer 中按下右鍵直接進行 Word 檔案格式轉換。不過,這次居然出現了「PDFMaker 檔案遺失」錯誤訊息,不僅僅不能將檔案轉換成 PDF,並且提示我要重新安裝程序。
依照提示訊息重新安裝了 Adobe Acrobat 7.0 之後,並且將所有更新都下載安裝,卻還是不能解決 PDFMaker 無法轉換 Office 檔案的問題。這時候,真的讓我很頭痛了 ...
不過,後來到 Adobe Support Knowledgebase 終於找到了解決方法,原來是 Adboe Acrobat 的項目被 Office 所停用,導致 PDFMaker 無法正確轉換 Word Format 的檔案。
1. 開啟 Microsoft Office 程式 (Word, Excel, Publisher, or Excel).
2. 開啟工具列上的「說明」 > 關於 [ 程式名稱 ](如:關於 Microsoft Office Word).
3. 按下「停用的項目」按鍵
4. 選擇 Adobe PDF 的項目,並且將這些停用項目改為啟用狀態。
5. 重新起動 Microsoft Office 程式
Adobe 網站上的 Support Knowledgebase 還有其他種 Solutions 可以解決類似的問題。當你遇到了類似問題而以上方法也無法解決的時候,那就可能必須參考看看 Adobe Support Knowledgebase 下面這個網頁嚕。
http://www.adobe.com/support/techdocs/330984.html
參考至:http://tw.myblog.yahoo.com/keith-503/article?mid=138&prev=205&l=f&fid=10
最 近在趕一份專案的期中報告,在 Final 整合的時候,依舊慣例的習慣在 File Explorer 中按下右鍵直接進行 Word 檔案格式轉換。不過,這次居然出現了「PDFMaker 檔案遺失」錯誤訊息,不僅僅不能將檔案轉換成 PDF,並且提示我要重新安裝程序。
依照提示訊息重新安裝了 Adobe Acrobat 7.0 之後,並且將所有更新都下載安裝,卻還是不能解決 PDFMaker 無法轉換 Office 檔案的問題。這時候,真的讓我很頭痛了 ...
不過,後來到 Adobe Support Knowledgebase 終於找到了解決方法,原來是 Adboe Acrobat 的項目被 Office 所停用,導致 PDFMaker 無法正確轉換 Word Format 的檔案。
1. 開啟 Microsoft Office 程式 (Word, Excel, Publisher, or Excel).
2. 開啟工具列上的「說明」 > 關於 [ 程式名稱 ](如:關於 Microsoft Office Word).
3. 按下「停用的項目」按鍵
4. 選擇 Adobe PDF 的項目,並且將這些停用項目改為啟用狀態。
5. 重新起動 Microsoft Office 程式
Adobe 網站上的 Support Knowledgebase 還有其他種 Solutions 可以解決類似的問題。當你遇到了類似問題而以上方法也無法解決的時候,那就可能必須參考看看 Adobe Support Knowledgebase 下面這個網頁嚕。
http://www.adobe.com/support/techdocs/330984.html
參考至:http://tw.myblog.yahoo.com/keith-503/article?mid=138&prev=205&l=f&fid=10
2010年11月6日 星期六
outlook express mail轉寄後,信的內容每一行會會出現>>
進入「工具」然後選擇「選項」
選擇「傳送」的標籤頁
在「郵件傳送格式」旁邊有一個「純文字設定」框框,點選後會跳出一個視窗
在最下面的「傳送或轉寄...」那個選項不要勾選即可
選擇「傳送」的標籤頁
在「郵件傳送格式」旁邊有一個「純文字設定」框框,點選後會跳出一個視窗
在最下面的「傳送或轉寄...」那個選項不要勾選即可
2010年11月4日 星期四
如何做好一份簡報?-從一場糟透了的簡報談起
2007年的冬天,公司正在討論如何進行我們新產品的開發,會議中找到在公司中目前在開發技術框架的團隊來參與此會議,台灣這邊挑中了我所屬的團隊跟大陸那邊另一個研發團隊,台灣這邊我是leader,因此該會議中,我是負責報告台灣這邊的想法與構想,當初老闆跟我說:『當天你就介紹你們的技術框架吧。』
報告當天,因為是我第一次在大老闆面前報告,有些許的緊張,生怕自己講得不好,大老闆大概說明了一下這個會議發起的原因跟重要性,我聽完後還是傻傻地不覺得有什麼了不起的,後來我開始報告,我拿的是之前我們簡介的精簡版,將一些太過技術細節的內容整個拿掉,只留下概觀,對於技術的細節並沒有很清楚的說明,我的簡報約15分鐘後結束了,接著輪到大陸的研發團隊報告,他大約講了一個小時,將技術架構、設計概念等都講得清清楚楚,過程中我愈聽愈心虛,心裡想:『我們的東西也不差,但我好像講得太少了。』
會後,大老闆私底下對台灣這邊的與會同仁說:『兩岸準備的水準差太多了,大陸那邊真的有用心。』
這句話在我心中無限的放大,意思就是:『我不用心嗎?』,我很直覺的想到這個結論去了,老闆雖然沒有接著再說下去,但我一顆心已經沉到谷底了,我主管拍拍我的肩跟我說:『我也有錯,我沒有清楚跟你說要做些什麼。』,即使主管這樣說,我心裡仍然沒有好過一點,當天晚上我一直在想我到底犯了什麼錯,為什麼花心思準備的資料最後會得到這樣的結果?花心思去準備,也戰戰兢兢的迎接它,結果最後得到的評價是不夠用心,糟透了,不是嗎?
不過自怨自艾始終無法解決我的問題,為了在下次博回我的顏面,我還是要仔細的想想自己到底哪邊出錯了,接著我整理出以下幾個問題:
1.沒有抓到主題與會議緣由:沒有清楚的知道今天究竟要討論些什麼主題及想得到的結論。
2.沒有掌握參與對象:沒有問清楚今天是要討論技術架構還是應用架構,也沒有了解過與會人員的背景。
3.範圍掌握錯誤:因為是技術解決方案,因此大家想了解的是較深度的設計及應用,不是要看overview,我的報告深度太淺。
除了簡報本身的技巧外,我幾乎犯了所有簡報不該犯的錯誤,無怪乎成為一場糟透了的簡報,當然了,即使知道我的錯誤在哪邊,要短期內改變也不太可能,只有透過一次又一次的訓練,慢慢的將這些缺點糾正過來,才有機會讓自己的簡報更加精進,撇開簡報本身的技巧不談,我們談如何做好一份簡報談起吧。
之前我寫過一篇文:[嘀咕]如何做好簡報,現在還是適用的。
Step1:確認簡報發起緣由
現在的報告第一件事情就是要確認這份簡報的發起緣由,不管是誰交辦下來的,如果是大老闆想看的,那我一定要親自去找大老闆了解會議的發起原因,如果我直接找大老闆不恰當,那我一定要請我主管帶著我去找他,由他親口說出這個會議發起的原因,目的是為了讓原始的需求更原汁原味的呈現出來,並同時跟大老闆詢問他最後希望得到的結論(很重要,一定要做)。
Step2:確認簡報大綱
Step1中我們已經清楚的知道會議的發起緣由,也大略知道誰會來參加這場會議,因此我在Step1的當天或隔天會先草擬一份簡報大綱給大老闆,內容會記錄了:
(1)當天的Agenda(前言、現況、解決方案、結論,並簡單描述一下內容分別有哪些)
(2)預計會推到的結論
這邊要記得,不要填充太多的資料在裡頭,這次只是確認方向是否沒有錯誤,如果老闆覺得沒有問題再繼續往下,但如果你的老闆是希望有更多的資訊才能確認,那請你儘量先在投影片上將你預計的內容以文字的方式呈現,讓老闆有個底。
Step3:製作簡報
你在Step1中應該已經確認過賓客清單,應該會多少了解這些人的背景及利害關係:
(1)如果與會者大多偏技術類或者這個會議主軸就是討論技術,那你要針對技術架構部分做較清楚的說明,並準備好會被詢問技術問題的狀況;
(2)如果與會者大多偏應用類或者這個會議主軸就是討論應用功能,那你要針對你的應用需求來源,為什麼會納入這些需求?打算怎麼發展整體的功能作為主要切入角度,而這一塊對多數技術人員來說有一定的困難,因為我們可能會懂技術,但對於這些需求的應用並不是那麼清楚,怎麼辦?不好意思,那就是你要去了解這些知識,不然做不好報告是沒有人會同情你的。
(3)如果與會者大多是高層或者這個會議的主軸是討論策略,那難度就更高一些了,你要試著去從更高的層次思考,要了解公司在這個策略上的角色與方向,你免不了要請教很多人,請別人給你很多意見,但你自己也要多多求證,看書、上網查詢相關資訊,找出最正確的方向,就算是策略性質的會議,你本身沒有決策權,你也應該扮演起軍師的角色,針對你所看到的觀點給予建議,今天老闆們就是不清楚這議題是怎麼一回事才無法很快的做決定,因此你要以一個做過功課的專家腳色來提供方向,有可能會出錯,但這都是訓練過程。
備註:請不要使用太多的自己才懂的專有名詞,避免花了太多時間解釋這些專有名詞,請多以數字、圖表妝點你的簡報。
Step4:確認簡報內容
在Step3邊進行過程,其實就可以將一份完成50-60%左右的簡報提供給老闆觀看,請他提供他的意見,如果都沒有其他問題的話再繼續做。
Step5:再次確認簡報內容
這次請直接跟老闆booking時間討論簡報內容,這次務必講得更細節,主軸應該都已經完成的差不多了,剩下的是一些妝點性內容,這時候再確認一次的目的是希望看看老闆有沒有特別想強調或者加入什麼議題的,有的話還可以來的及補充。
Step6:Final版確認
經過Step5的討論後再次調整的版本,這時簡報的完程度應該已經達100%了,確認無誤後,寄出給與會者。
原則上依循以上方向,簡報應該不會太差,但如何把一份簡報做到好、漂亮、完美呢?我雖然有自己的一套方法,但還很難完整的整理成文章跟大家分享,我覺得可以透過多看別人的簡報來做學習,我想這幾年下來我看過的簡報應該不下萬份吧,有些很棒的我會學下來,也會針對不好的地方加以檢討,日子有功,簡報還是可以愈做愈好的。
本文跟大家分享我準備與製作一份簡報的想法,希望對各位有幫助。
參考至:http://ithelp.ithome.com.tw/question/10058167?tag=nl.daily
報告當天,因為是我第一次在大老闆面前報告,有些許的緊張,生怕自己講得不好,大老闆大概說明了一下這個會議發起的原因跟重要性,我聽完後還是傻傻地不覺得有什麼了不起的,後來我開始報告,我拿的是之前我們簡介的精簡版,將一些太過技術細節的內容整個拿掉,只留下概觀,對於技術的細節並沒有很清楚的說明,我的簡報約15分鐘後結束了,接著輪到大陸的研發團隊報告,他大約講了一個小時,將技術架構、設計概念等都講得清清楚楚,過程中我愈聽愈心虛,心裡想:『我們的東西也不差,但我好像講得太少了。』
會後,大老闆私底下對台灣這邊的與會同仁說:『兩岸準備的水準差太多了,大陸那邊真的有用心。』
這句話在我心中無限的放大,意思就是:『我不用心嗎?』,我很直覺的想到這個結論去了,老闆雖然沒有接著再說下去,但我一顆心已經沉到谷底了,我主管拍拍我的肩跟我說:『我也有錯,我沒有清楚跟你說要做些什麼。』,即使主管這樣說,我心裡仍然沒有好過一點,當天晚上我一直在想我到底犯了什麼錯,為什麼花心思準備的資料最後會得到這樣的結果?花心思去準備,也戰戰兢兢的迎接它,結果最後得到的評價是不夠用心,糟透了,不是嗎?
不過自怨自艾始終無法解決我的問題,為了在下次博回我的顏面,我還是要仔細的想想自己到底哪邊出錯了,接著我整理出以下幾個問題:
1.沒有抓到主題與會議緣由:沒有清楚的知道今天究竟要討論些什麼主題及想得到的結論。
2.沒有掌握參與對象:沒有問清楚今天是要討論技術架構還是應用架構,也沒有了解過與會人員的背景。
3.範圍掌握錯誤:因為是技術解決方案,因此大家想了解的是較深度的設計及應用,不是要看overview,我的報告深度太淺。
除了簡報本身的技巧外,我幾乎犯了所有簡報不該犯的錯誤,無怪乎成為一場糟透了的簡報,當然了,即使知道我的錯誤在哪邊,要短期內改變也不太可能,只有透過一次又一次的訓練,慢慢的將這些缺點糾正過來,才有機會讓自己的簡報更加精進,撇開簡報本身的技巧不談,我們談如何做好一份簡報談起吧。
之前我寫過一篇文:[嘀咕]如何做好簡報,現在還是適用的。
Step1:確認簡報發起緣由
現在的報告第一件事情就是要確認這份簡報的發起緣由,不管是誰交辦下來的,如果是大老闆想看的,那我一定要親自去找大老闆了解會議的發起原因,如果我直接找大老闆不恰當,那我一定要請我主管帶著我去找他,由他親口說出這個會議發起的原因,目的是為了讓原始的需求更原汁原味的呈現出來,並同時跟大老闆詢問他最後希望得到的結論(很重要,一定要做)。
Step2:確認簡報大綱
Step1中我們已經清楚的知道會議的發起緣由,也大略知道誰會來參加這場會議,因此我在Step1的當天或隔天會先草擬一份簡報大綱給大老闆,內容會記錄了:
(1)當天的Agenda(前言、現況、解決方案、結論,並簡單描述一下內容分別有哪些)
(2)預計會推到的結論
這邊要記得,不要填充太多的資料在裡頭,這次只是確認方向是否沒有錯誤,如果老闆覺得沒有問題再繼續往下,但如果你的老闆是希望有更多的資訊才能確認,那請你儘量先在投影片上將你預計的內容以文字的方式呈現,讓老闆有個底。
Step3:製作簡報
你在Step1中應該已經確認過賓客清單,應該會多少了解這些人的背景及利害關係:
(1)如果與會者大多偏技術類或者這個會議主軸就是討論技術,那你要針對技術架構部分做較清楚的說明,並準備好會被詢問技術問題的狀況;
(2)如果與會者大多偏應用類或者這個會議主軸就是討論應用功能,那你要針對你的應用需求來源,為什麼會納入這些需求?打算怎麼發展整體的功能作為主要切入角度,而這一塊對多數技術人員來說有一定的困難,因為我們可能會懂技術,但對於這些需求的應用並不是那麼清楚,怎麼辦?不好意思,那就是你要去了解這些知識,不然做不好報告是沒有人會同情你的。
(3)如果與會者大多是高層或者這個會議的主軸是討論策略,那難度就更高一些了,你要試著去從更高的層次思考,要了解公司在這個策略上的角色與方向,你免不了要請教很多人,請別人給你很多意見,但你自己也要多多求證,看書、上網查詢相關資訊,找出最正確的方向,就算是策略性質的會議,你本身沒有決策權,你也應該扮演起軍師的角色,針對你所看到的觀點給予建議,今天老闆們就是不清楚這議題是怎麼一回事才無法很快的做決定,因此你要以一個做過功課的專家腳色來提供方向,有可能會出錯,但這都是訓練過程。
備註:請不要使用太多的自己才懂的專有名詞,避免花了太多時間解釋這些專有名詞,請多以數字、圖表妝點你的簡報。
Step4:確認簡報內容
在Step3邊進行過程,其實就可以將一份完成50-60%左右的簡報提供給老闆觀看,請他提供他的意見,如果都沒有其他問題的話再繼續做。
Step5:再次確認簡報內容
這次請直接跟老闆booking時間討論簡報內容,這次務必講得更細節,主軸應該都已經完成的差不多了,剩下的是一些妝點性內容,這時候再確認一次的目的是希望看看老闆有沒有特別想強調或者加入什麼議題的,有的話還可以來的及補充。
Step6:Final版確認
經過Step5的討論後再次調整的版本,這時簡報的完程度應該已經達100%了,確認無誤後,寄出給與會者。
原則上依循以上方向,簡報應該不會太差,但如何把一份簡報做到好、漂亮、完美呢?我雖然有自己的一套方法,但還很難完整的整理成文章跟大家分享,我覺得可以透過多看別人的簡報來做學習,我想這幾年下來我看過的簡報應該不下萬份吧,有些很棒的我會學下來,也會針對不好的地方加以檢討,日子有功,簡報還是可以愈做愈好的。
本文跟大家分享我準備與製作一份簡報的想法,希望對各位有幫助。
參考至:http://ithelp.ithome.com.tw/question/10058167?tag=nl.daily
職場應該具備的六項共通能力
我想不管你在工作上是擔任什麼職務,以下六項能力是絕對不可以或缺的:
1.基礎知識
2.溝通/表達能力
3.組織能力
4.時間管理能力
5.問題分析能力
6.EQ
1.基礎知識
這算是你能勝任此工作的基本門檻,就資訊業來說,軟硬體的資本知識、網路的知識是基本的,如果在ERP產業,那對ERP、BPM有些基本認識也是必要的,這邊講的基本認識不是說你能將他的名字英翻中這麼膚淺,而是你多少要了解他背後的管理意涵,要知道它是用來改善我們工作流程中的那些問題,不能談到ERP就只知道進銷存,談到BPM只知道無紙化,應該要多少熟悉它的背後意義,這一塊的重要性很高,不然我們也不用花了四年學習資訊管理這門課題,因為這門課算是資訊管理學系的精髓了,這些觀念不弄懂,你就很難談出資訊系統真正的價值所在,也很難叫客戶買單你的系統。
TIP:多看書,多思考每一項觀念背後的意涵,不要只看表面的詞句意義,知識是累積來的,你無法在一兩天內就在腦海內囤積一堆知識,而這些知識必須要持續內化為你的資產,時間久了,這些知識就很自然的成為你信手捻來都可以活用的工具。
2.溝通/表達能力
我想這一項沒有什麼好爭議的,我們腦海裡有滿滿的想法,但如果無法透過有效的口語、文字話能力表達給別人了解,那永遠也不會有有人知道你的想法,你講A我聽成B,我要你做C,你卻以為我要你做D,這樣的狀況其實會造成雙方非常多的困擾。
TIP:對著鏡子練習,將自己講的話錄下來,放給自己聽看看自己能否聽的懂自己在講些什麼,與人溝通時的確認動作務必要進行,請別人重複一次你想表達的東西;也重複一次別人對你說的內容,確認彼此沒有誤解。
3.組織能力
我們收到的資訊常常不會是很完整的,有時候我們去找客戶做需求訪談,客戶的需求往往是發散的,也不會條列式的幫你整理好,跟老闆討論事情也是一樣,老闆可能有許多的想法,但都還很抽象,你如何將這些雜亂、抽象的資訊轉換成彼此能溝通的資訊,這就考驗了你的組織能力,你如何這些資訊中抽絲剝繭挑出重要的內容,而這些內容加起來就恰恰等於本來所討論的主題內容。
TIP:勤作筆記,一開始做筆記時我們會將別人說的整句話給記錄下來,但慢慢的我們可以變成只記關鍵字或者重要的資訊,這些都是在一次又一次的紀錄過程中學會的,而那些東西是重要的?那些是不重要的?這要依狀況而定,不過一般來說要組織內容時要特別留意提到5W1H的內容,這些都將是你在組織一段雜亂資訊中最重要的資訊來源。EX:誰在什麼時間做什麼事?誰在什麼時間提出一個什麼需求?誰希望你做些什麼東西?
4.時間管理能力
大家都知道青春小鳥一去就不會再回來,時間一旦流逝就不可能回頭了,你今天沒有做的事情,你只能往後排了,每天我們都面對滿山滿谷的事情,有些人可以在時間內把事情做完,但有些人卻一定要辛苦工作才能勉強把事情完成,我自己推究起來,我覺得做不完工作的人最常碰到的問題就是分不清楚事情的輕重緩急,也不能將自己每天要做的工作妥善配置在八個小時的工作內。
TIP:根據緊急度與重要性二維矩陣,我們可以列出重要且緊急、重要但不緊急、不重要但緊急、不重要且不緊急等四個維度的事情。
重要且緊急:馬上做吧。
重要但不緊急:先花一些時間規劃何時開始做,怎麼做。
不重要但緊急:評估影響性在決定要不要馬上做。
不重要且不緊急:現在還不值得做,先不要管。
很多事情可能本來都不緊急的,但因為我們一拖再拖,讓不緊急的事情也變緊急了,當你生活中充斥著緊急的事情,你就會被時間押著跑,因為你一直處理緊急的事情,也沒有花時間去規劃那些重要但不緊急的事情,等到有一天不緊急的事情又變緊急了,你就這樣日復一日持續的做loop了。
5.問題分析能力
你會老是犯同樣的錯誤嗎?如果會,你有仔細想過這個錯誤發生的原因嗎?是因為自己粗心還是因為制度、因為工具的問題導致?那你有想過解決方案嗎?有試著去解決這個問題嗎?我們發現會檢討自己犯錯原因的人進步的總是比較快的,因為他不用再花時間在錯誤處理上頭,可以花更多的時間在如何改善他的工作績效上頭。
TIP:對於自己、對於環境都必須要具備分析現況的能力,最基本的是要檢討錯誤發生的原因,進階一點的應該可以針對現況提出一些可改善的方向,多花點心思思考周遭的狀況是否合理,若不合理是哪邊不合理?該如何改善?
6.EQ-情緒商數
這個詞已經出來很久了,情商在現在已經比智商來的重要了,能控制自己情緒、脾氣的人比較不容易因為一時的情緒化而搞砸了某些事情,而我們也不是很喜歡跟情緒化的人相處,因為不知道何時會踩中他的情緒地雷。
TIP:多用同理心想事情,站在對方立場想事情;在發脾氣前先讓自已閉嘴一分鐘,不要急著發作,有些時候情緒只是一時起來,冷靜一下子就會發現自己其實不用這麼生氣。
本文中都還沒有提到熱情、主動學習、積極等元素,因為我把那歸到更上一層樓的特質當中而不是共通能力,但以上六項我覺得是要在職場好好生存不能欠缺的。
參考至:http://ithelp.ithome.com.tw/question/10058165?tag=nl.daily
1.基礎知識
2.溝通/表達能力
3.組織能力
4.時間管理能力
5.問題分析能力
6.EQ
1.基礎知識
這算是你能勝任此工作的基本門檻,就資訊業來說,軟硬體的資本知識、網路的知識是基本的,如果在ERP產業,那對ERP、BPM有些基本認識也是必要的,這邊講的基本認識不是說你能將他的名字英翻中這麼膚淺,而是你多少要了解他背後的管理意涵,要知道它是用來改善我們工作流程中的那些問題,不能談到ERP就只知道進銷存,談到BPM只知道無紙化,應該要多少熟悉它的背後意義,這一塊的重要性很高,不然我們也不用花了四年學習資訊管理這門課題,因為這門課算是資訊管理學系的精髓了,這些觀念不弄懂,你就很難談出資訊系統真正的價值所在,也很難叫客戶買單你的系統。
TIP:多看書,多思考每一項觀念背後的意涵,不要只看表面的詞句意義,知識是累積來的,你無法在一兩天內就在腦海內囤積一堆知識,而這些知識必須要持續內化為你的資產,時間久了,這些知識就很自然的成為你信手捻來都可以活用的工具。
2.溝通/表達能力
我想這一項沒有什麼好爭議的,我們腦海裡有滿滿的想法,但如果無法透過有效的口語、文字話能力表達給別人了解,那永遠也不會有有人知道你的想法,你講A我聽成B,我要你做C,你卻以為我要你做D,這樣的狀況其實會造成雙方非常多的困擾。
TIP:對著鏡子練習,將自己講的話錄下來,放給自己聽看看自己能否聽的懂自己在講些什麼,與人溝通時的確認動作務必要進行,請別人重複一次你想表達的東西;也重複一次別人對你說的內容,確認彼此沒有誤解。
3.組織能力
我們收到的資訊常常不會是很完整的,有時候我們去找客戶做需求訪談,客戶的需求往往是發散的,也不會條列式的幫你整理好,跟老闆討論事情也是一樣,老闆可能有許多的想法,但都還很抽象,你如何將這些雜亂、抽象的資訊轉換成彼此能溝通的資訊,這就考驗了你的組織能力,你如何這些資訊中抽絲剝繭挑出重要的內容,而這些內容加起來就恰恰等於本來所討論的主題內容。
TIP:勤作筆記,一開始做筆記時我們會將別人說的整句話給記錄下來,但慢慢的我們可以變成只記關鍵字或者重要的資訊,這些都是在一次又一次的紀錄過程中學會的,而那些東西是重要的?那些是不重要的?這要依狀況而定,不過一般來說要組織內容時要特別留意提到5W1H的內容,這些都將是你在組織一段雜亂資訊中最重要的資訊來源。EX:誰在什麼時間做什麼事?誰在什麼時間提出一個什麼需求?誰希望你做些什麼東西?
4.時間管理能力
大家都知道青春小鳥一去就不會再回來,時間一旦流逝就不可能回頭了,你今天沒有做的事情,你只能往後排了,每天我們都面對滿山滿谷的事情,有些人可以在時間內把事情做完,但有些人卻一定要辛苦工作才能勉強把事情完成,我自己推究起來,我覺得做不完工作的人最常碰到的問題就是分不清楚事情的輕重緩急,也不能將自己每天要做的工作妥善配置在八個小時的工作內。
TIP:根據緊急度與重要性二維矩陣,我們可以列出重要且緊急、重要但不緊急、不重要但緊急、不重要且不緊急等四個維度的事情。
重要且緊急:馬上做吧。
重要但不緊急:先花一些時間規劃何時開始做,怎麼做。
不重要但緊急:評估影響性在決定要不要馬上做。
不重要且不緊急:現在還不值得做,先不要管。
很多事情可能本來都不緊急的,但因為我們一拖再拖,讓不緊急的事情也變緊急了,當你生活中充斥著緊急的事情,你就會被時間押著跑,因為你一直處理緊急的事情,也沒有花時間去規劃那些重要但不緊急的事情,等到有一天不緊急的事情又變緊急了,你就這樣日復一日持續的做loop了。
5.問題分析能力
你會老是犯同樣的錯誤嗎?如果會,你有仔細想過這個錯誤發生的原因嗎?是因為自己粗心還是因為制度、因為工具的問題導致?那你有想過解決方案嗎?有試著去解決這個問題嗎?我們發現會檢討自己犯錯原因的人進步的總是比較快的,因為他不用再花時間在錯誤處理上頭,可以花更多的時間在如何改善他的工作績效上頭。
TIP:對於自己、對於環境都必須要具備分析現況的能力,最基本的是要檢討錯誤發生的原因,進階一點的應該可以針對現況提出一些可改善的方向,多花點心思思考周遭的狀況是否合理,若不合理是哪邊不合理?該如何改善?
6.EQ-情緒商數
這個詞已經出來很久了,情商在現在已經比智商來的重要了,能控制自己情緒、脾氣的人比較不容易因為一時的情緒化而搞砸了某些事情,而我們也不是很喜歡跟情緒化的人相處,因為不知道何時會踩中他的情緒地雷。
TIP:多用同理心想事情,站在對方立場想事情;在發脾氣前先讓自已閉嘴一分鐘,不要急著發作,有些時候情緒只是一時起來,冷靜一下子就會發現自己其實不用這麼生氣。
本文中都還沒有提到熱情、主動學習、積極等元素,因為我把那歸到更上一層樓的特質當中而不是共通能力,但以上六項我覺得是要在職場好好生存不能欠缺的。
參考至:http://ithelp.ithome.com.tw/question/10058165?tag=nl.daily
2010年11月3日 星期三
Windows系統日誌管理
今日公司有台SERVER被入侵,修改了帳號密碼,應該也有植入木馬程式………還好前陣子把環境移植到 VM ESXi Server環境,對系統做了備份,故今日很快的恢復系統運作,但對於被入侵的Server,看不出端倪,因為系統日誌檔被刪除了,但對外防火牆的記錄看不出有任何對該台Server異常連線的記錄,故有點擔心是由內部引起的………
已請管理的同事對該台Server做了一些安全上的設定:
1.找時間關閉Guest,要連線請都使用帳號密碼連線(無AD就將使用者本機帳號密碼也建立一份在SERVER上),分享目錄請把Everyone權限拿掉,改特定帳號密碼。
2.關閉奇怪的帳號 kurt$ , 這帳號既然有本機Admin權限。怎麼來的也不清楚,只知道是廠商裝完系統後出現的帳號。
找了一下怎麼備份日誌檔,雖然並不能百分百記錄到駭客入侵前所有記錄,但多一份備份就多一份機會找出問題點,當然希望以後是用不到才是。
=======================================
文章出處:http://forum.slime.com.tw/thread65618.html
日誌對於系統安全的作用是顯而易見的,無論是網路管理員還是黑客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全效能,而一個聰明的黑客往往會在入侵成功 後迅速清除掉對自己不利的日誌。下面我們就來討論一下日誌的安全和新增問題。
一:概述:
Windows 2000的系統日誌文件有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌等等,應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設文件大小512KB。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT
系統日誌文件:%systemroot%\system32\config\SysEvent.EVT
應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT
這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。
二:作為網路管理員:
1.日誌的安全配置:
預設的條件下,日誌的大小為512KB大小,如果超出則會報錯,並且不會再記錄任何日誌。所以首要工作是更改預設大小,具體方法:註冊表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對應的每個日誌如系統,安全,應用程式等均有一個maxsize子鍵,修改即可。
下面給出一個來自微軟站點的一個指令碼,利用VMI來設定日誌最大25MB,並允許日誌自行覆蓋14天前的日誌:
該指令碼利用的是WMI對像, WMI(Windows Management Instrumentation)技術是微軟提供的Windows下的系統系統管理工具。通過該工具可以在本機或者管理客戶端系統中幾乎一切的信息。很多專業的網路系統管理工具都是關於WMI開發的。該工具在Win2000以及WinNT下是標準工具,在Win9X下是擴展安裝選項。所以以下的程式碼在2000以上均可執行成功。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" & _
strComputer & "\root\cimv2") \’獲得VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
& "Win32_NTEventlogFile.Name=\’" & strLogFileName & "\’")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
將上述指令碼用記事本儲存碟為vbs為後面的即可使用。
另外需要說明的是程式碼中的strComputer="."在Windows指令碼中的含義相當於localhost,如果要在遠端主機上執行程式碼,只需要把"."改動為主機名,當然首先得擁有對方主機的管理員權限並建立IPC連接.本文中的程式碼所出現的strComputer均可作如此改動。
2. 日誌的查詢與制作備份:
一個優秀的管理員是應該養成制作備份日誌的習慣,如果有條件的話還應該把日誌轉存到制作備份電腦上或直接轉儲到列印機上,在這裡推薦微軟的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 輸出日誌的位置和檔案名
-s \\server 輸出遠端電腦日誌
-l log log 可選的為system,security,application,可能還有別的如DNS等.
如要把目標伺服器server上的系統日誌轉存為backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用計劃工作可以實現定期制作備份系統日誌。
另外利用指令碼編程的VMI對象也可以輕而易舉的實現日誌制作備份:
下面給出制作備份application日誌的程式碼:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2") \’獲得 VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’Application\’") \’獲取日誌對像中的應用程式日誌
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:\application.evt") \’將日誌制作備份為f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序說明:如果制作備份成功將視窗提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處制作備份的日誌為application 制作備份位置為f:\application.evt,可以自行修改,此處制作備份的格式為evt的原始格式,用記事本開啟則為亂碼,這一點他不如dumpel用得方便。
三:作為黑客
1、日至清除
一個入侵系統成功後的黑客第一件事便是清除日誌,如果以圖形界面遠端控制對方機器或是從終端登入進入,刪除日誌不是一件困難的事,由於日誌雖然也是作為一種服務執行,但不同於http,ftp這樣的服務,可以在指令行下先停止,再刪除,在m指令行下用net stop eventlog是不能停止的,所以有人認為在指令行下刪除日誌是很困難的,實際上不是這樣,下面介紹幾種方法:
(1)借助第三方工具:如小榕的elsave.exe遠端清除system,applicaton,security的軟體,使用方法很簡單,首先利用獲得的管理員帳號與對方建立ipc會話,net use \\ip pass /user: user
然後指令行下:elsave -s \\ip -l application -C,這樣就刪除了安全日誌。
其實利用這個軟體還可以進行制作備份日誌,只要加一個參數 -f filename就可以了,在此不再詳述。
(2)利用指令碼編程中的VMI,也可以實現刪除日誌,首先獲得object對象,然後利用其clearEventLog()方法刪除日誌。來源碼:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’"&logs&"\’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的程式碼中,建立一個陣列,為application,security,system如果還有其他日誌也可以加入陣列。
然後用一個for 循環,刪除陣列中的每一個元素,即各個日誌.
2、新增日誌:
刪除日誌後,任何一個有頭腦的管理員面對空空的日誌,馬上就會反應過來被入侵了,所以一個聰明的黑客的學會如何偽造日誌:
(1)利用指令碼編程中的eventlog方法是創造日誌變得非常簡單;下面看一個程式碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" \’新增一個成功執行日誌
這個程式碼很容易閱讀,首先獲得wscript的一個shell對象,然後利用shell對象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 為日誌類型,可以使用的如下:0 代表成功執行;1 執行出錯;2 警告;4 信息;8 成功審計;16 故障審計
所以上面程式碼中,把0改為1,2,4,8,16均可,引號下的為日誌描述。
這種方法寫的日誌有一個缺點,只能寫到應用程式日誌,而且日至來源只能為wsh,即Windows scripting host,所以不能起太多的隱蔽作用。
(2)微軟為了方便系統管理員和程序員,在xp下有個新的指令行工具,eventcreate.exe,利用它,新增日誌更加簡單。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含義:-s 為遠端主機新增日誌: -u 遠端主機的用戶名 -p 遠端主機的用戶密碼
-l 日誌;可以新增system和application 不能新增security日誌,
-so 日誌來源,可以是任何日誌 -t 日誌類型 如information信息,error錯誤,warning 警告,
-d 日誌描述,可以是任意語句 -id 自主日誌為1-1000之內
例如,我們要本機新增一個系統日誌,日至來源為admin,日誌類型是警告,描述為"this is a test",事件ID為500
可以用如下參數
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個工具不能新增安全日誌。至於如何新增安全日誌,希望大家能夠找到一個好方法!
=================================================================
另一篇使用Script自動備份維護LOG檔
文章出處:http://jiemelody.blog.51cto.com/405459/331906
前言:
在管理windows平台的服務器時,常常在系統發生問題或是服務器上運行的服務發生異常時,我們第一個一定是先打開"事件檢查器" 來查看Eventlog,查看是不是有異常的訊息產生,但是windows的log產生默認下是不會以日期來自動備份的,往往要找一個問題都要在一堆 log裡翻呀找呀,好不方便,如果能夠每天在午夜12點59分整以全文字檔備份每天的eventlog,那我們就可以在問題發生時,把我們要查找的 eventlog以照日期調閱出來,方便又快速~以下小弟我就寫了一個很小但又方便的dos scripts提供給大家參考囉!
一.實作:
首先scripts的組成有以下三個檔案
1.Dump_eventlog.cmd –>這支Scripts是把eventlog Dump出來共以全文字檔 txt來存檔
2.dumpel.exe –>這是一支工具程式,因為如果用windows內建的匯出eventlog功能,匯出來的後綴檔名是.evt,以文字編程工具打開來會是亂碼,一定要用windows的事件檢查器打來看才行,那就太煩人了,所以我們用這支程式加上上一支 scripts就可以匯出後綴檔名為.txt的log檔,要查看就方便多了!
3.del_eventlog.vbs –>這支是用wsh編程編寫的scripts,功用是清空系統的eventlog記錄,有人要問了,我們不是要備份log嗎為什麼需要這支來刪除呀!
還記得剛才說的嗎?我們是要備份每天的系統Log檔,所以用排程排定在每天的午夜12:59備份系統Log後,就利用這支scripts清空系統裡舊的 log,那樣我們每天備份的eventlog就會是完完整整的一整天,而不是好幾天混雜在一起的log備份!
二.代碼說明
接下來我就要解說代源的寫法囉
1.Dump_eventlog.cmd
———————————- 源代碼 ————————————————————
@echo Off
mkdir %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%
@echo ******* start Backup Eventlog ******
dumpel -s 127.0.0.1 -l system -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/system.log
dumpel -s 127.0.0.1 -l application -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/application.log
dumpel -s 127.0.0.1 -l security -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/security.log
@echo ******* Finish Backup Eventlog ******
star /min del_eventlog.vbs
———————————————————————————————————
說明:
代碼不含上下二條虛線喔!第二行是我們要建立一個以日期為名稱的資料夾
因為windows的date抓取的日期變數會是2005/02/23 星期三"這樣的文字,其內的斜線(/)或減號(-)都是用做命令列的選項符號,這樣的組合可能會造成錯誤。
在此最簡單的方法便是用環境變數的擴充功能了,用%DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%,我們就可以抓取以 2006-10-20這種格式的日期,4~6行則是利用dumpel 這支程式把 security 、application 、system 三項log記錄匯出來以txt檔備份到以當天日期命名的資料夾裡,ip我是用本機,請依照自己的需要改成你自己主機的ip,star /min del_eventlog.vbs這行則是在備份完之後清空系統的log記錄,原因,前面我們己經說過了!把上面的源碼copy並存成.bat或.cmd 的檔名就可以了!
2.del_eventlog.vbs
————————————-源代碼 ———————————————————–
‘刪除Evenlog
strComputer= "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles=objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=’"&logs&"’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
Next
———————————————————————————————————
說明:
代碼不包含上下二條虛線喔!這支是清空系統eventlog的wsh編程 scripts,這裡就不多做介紹了,有興趣可以到微軟的腳本範例網站看看,上面有對wsh的做很多的介紹也有範例檔可下來研究!
http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx
以上三支scripts我有提供我寫好的碼代碼在附件裡,大家可以玩看看,歡迎修改,
eventlog的備份也許有些人覺得沒什麼重要,但以筆者我,在管理大量主機時,尤其我又是管理線上遊戲服務器,對於系統異常狀況的掌控就是非常重要的了~
參考至:http://blog.infinity.idv.tw/index.php/2010/11/02/windows%E7%B3%BB%E7%B5%B1%E6%97%A5%E8%AA%8C%E7%AE%A1%E7%90%86/
已請管理的同事對該台Server做了一些安全上的設定:
1.找時間關閉Guest,要連線請都使用帳號密碼連線(無AD就將使用者本機帳號密碼也建立一份在SERVER上),分享目錄請把Everyone權限拿掉,改特定帳號密碼。
2.關閉奇怪的帳號 kurt$ , 這帳號既然有本機Admin權限。怎麼來的也不清楚,只知道是廠商裝完系統後出現的帳號。
找了一下怎麼備份日誌檔,雖然並不能百分百記錄到駭客入侵前所有記錄,但多一份備份就多一份機會找出問題點,當然希望以後是用不到才是。
=======================================
文章出處:http://forum.slime.com.tw/thread65618.html
日誌對於系統安全的作用是顯而易見的,無論是網路管理員還是黑客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全效能,而一個聰明的黑客往往會在入侵成功 後迅速清除掉對自己不利的日誌。下面我們就來討論一下日誌的安全和新增問題。
一:概述:
Windows 2000的系統日誌文件有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌等等,應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設文件大小512KB。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT
系統日誌文件:%systemroot%\system32\config\SysEvent.EVT
應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT
這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。
二:作為網路管理員:
1.日誌的安全配置:
預設的條件下,日誌的大小為512KB大小,如果超出則會報錯,並且不會再記錄任何日誌。所以首要工作是更改預設大小,具體方法:註冊表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog對應的每個日誌如系統,安全,應用程式等均有一個maxsize子鍵,修改即可。
下面給出一個來自微軟站點的一個指令碼,利用VMI來設定日誌最大25MB,並允許日誌自行覆蓋14天前的日誌:
該指令碼利用的是WMI對像, WMI(Windows Management Instrumentation)技術是微軟提供的Windows下的系統系統管理工具。通過該工具可以在本機或者管理客戶端系統中幾乎一切的信息。很多專業的網路系統管理工具都是關於WMI開發的。該工具在Win2000以及WinNT下是標準工具,在Win9X下是擴展安裝選項。所以以下的程式碼在2000以上均可執行成功。
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" & _
strComputer & "\root\cimv2") \’獲得VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
& "Win32_NTEventlogFile.Name=\’" & strLogFileName & "\’")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
將上述指令碼用記事本儲存碟為vbs為後面的即可使用。
另外需要說明的是程式碼中的strComputer="."在Windows指令碼中的含義相當於localhost,如果要在遠端主機上執行程式碼,只需要把"."改動為主機名,當然首先得擁有對方主機的管理員權限並建立IPC連接.本文中的程式碼所出現的strComputer均可作如此改動。
2. 日誌的查詢與制作備份:
一個優秀的管理員是應該養成制作備份日誌的習慣,如果有條件的話還應該把日誌轉存到制作備份電腦上或直接轉儲到列印機上,在這裡推薦微軟的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 輸出日誌的位置和檔案名
-s \\server 輸出遠端電腦日誌
-l log log 可選的為system,security,application,可能還有別的如DNS等.
如要把目標伺服器server上的系統日誌轉存為backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用計劃工作可以實現定期制作備份系統日誌。
另外利用指令碼編程的VMI對象也可以輕而易舉的實現日誌制作備份:
下面給出制作備份application日誌的程式碼:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2") \’獲得 VMI對像
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’Application\’") \’獲取日誌對像中的應用程式日誌
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:\application.evt") \’將日誌制作備份為f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序說明:如果制作備份成功將視窗提示:"success backup log" 否則提示:"The Application event log could not be backed up",此處制作備份的日誌為application 制作備份位置為f:\application.evt,可以自行修改,此處制作備份的格式為evt的原始格式,用記事本開啟則為亂碼,這一點他不如dumpel用得方便。
三:作為黑客
1、日至清除
一個入侵系統成功後的黑客第一件事便是清除日誌,如果以圖形界面遠端控制對方機器或是從終端登入進入,刪除日誌不是一件困難的事,由於日誌雖然也是作為一種服務執行,但不同於http,ftp這樣的服務,可以在指令行下先停止,再刪除,在m指令行下用net stop eventlog是不能停止的,所以有人認為在指令行下刪除日誌是很困難的,實際上不是這樣,下面介紹幾種方法:
(1)借助第三方工具:如小榕的elsave.exe遠端清除system,applicaton,security的軟體,使用方法很簡單,首先利用獲得的管理員帳號與對方建立ipc會話,net use \\ip pass /user: user
然後指令行下:elsave -s \\ip -l application -C,這樣就刪除了安全日誌。
其實利用這個軟體還可以進行制作備份日誌,只要加一個參數 -f filename就可以了,在此不再詳述。
(2)利用指令碼編程中的VMI,也可以實現刪除日誌,首先獲得object對象,然後利用其clearEventLog()方法刪除日誌。來源碼:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=\’"&logs&"\’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的程式碼中,建立一個陣列,為application,security,system如果還有其他日誌也可以加入陣列。
然後用一個for 循環,刪除陣列中的每一個元素,即各個日誌.
2、新增日誌:
刪除日誌後,任何一個有頭腦的管理員面對空空的日誌,馬上就會反應過來被入侵了,所以一個聰明的黑客的學會如何偽造日誌:
(1)利用指令碼編程中的eventlog方法是創造日誌變得非常簡單;下面看一個程式碼
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" \’新增一個成功執行日誌
這個程式碼很容易閱讀,首先獲得wscript的一個shell對象,然後利用shell對象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 為日誌類型,可以使用的如下:0 代表成功執行;1 執行出錯;2 警告;4 信息;8 成功審計;16 故障審計
所以上面程式碼中,把0改為1,2,4,8,16均可,引號下的為日誌描述。
這種方法寫的日誌有一個缺點,只能寫到應用程式日誌,而且日至來源只能為wsh,即Windows scripting host,所以不能起太多的隱蔽作用。
(2)微軟為了方便系統管理員和程序員,在xp下有個新的指令行工具,eventcreate.exe,利用它,新增日誌更加簡單。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含義:-s 為遠端主機新增日誌: -u 遠端主機的用戶名 -p 遠端主機的用戶密碼
-l 日誌;可以新增system和application 不能新增security日誌,
-so 日誌來源,可以是任何日誌 -t 日誌類型 如information信息,error錯誤,warning 警告,
-d 日誌描述,可以是任意語句 -id 自主日誌為1-1000之內
例如,我們要本機新增一個系統日誌,日至來源為admin,日誌類型是警告,描述為"this is a test",事件ID為500
可以用如下參數
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
這個工具不能新增安全日誌。至於如何新增安全日誌,希望大家能夠找到一個好方法!
=================================================================
另一篇使用Script自動備份維護LOG檔
文章出處:http://jiemelody.blog.51cto.com/405459/331906
前言:
在管理windows平台的服務器時,常常在系統發生問題或是服務器上運行的服務發生異常時,我們第一個一定是先打開"事件檢查器" 來查看Eventlog,查看是不是有異常的訊息產生,但是windows的log產生默認下是不會以日期來自動備份的,往往要找一個問題都要在一堆 log裡翻呀找呀,好不方便,如果能夠每天在午夜12點59分整以全文字檔備份每天的eventlog,那我們就可以在問題發生時,把我們要查找的 eventlog以照日期調閱出來,方便又快速~以下小弟我就寫了一個很小但又方便的dos scripts提供給大家參考囉!
一.實作:
首先scripts的組成有以下三個檔案
1.Dump_eventlog.cmd –>這支Scripts是把eventlog Dump出來共以全文字檔 txt來存檔
2.dumpel.exe –>這是一支工具程式,因為如果用windows內建的匯出eventlog功能,匯出來的後綴檔名是.evt,以文字編程工具打開來會是亂碼,一定要用windows的事件檢查器打來看才行,那就太煩人了,所以我們用這支程式加上上一支 scripts就可以匯出後綴檔名為.txt的log檔,要查看就方便多了!
3.del_eventlog.vbs –>這支是用wsh編程編寫的scripts,功用是清空系統的eventlog記錄,有人要問了,我們不是要備份log嗎為什麼需要這支來刪除呀!
還記得剛才說的嗎?我們是要備份每天的系統Log檔,所以用排程排定在每天的午夜12:59備份系統Log後,就利用這支scripts清空系統裡舊的 log,那樣我們每天備份的eventlog就會是完完整整的一整天,而不是好幾天混雜在一起的log備份!
二.代碼說明
接下來我就要解說代源的寫法囉
1.Dump_eventlog.cmd
———————————- 源代碼 ————————————————————
@echo Off
mkdir %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%
@echo ******* start Backup Eventlog ******
dumpel -s 127.0.0.1 -l system -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/system.log
dumpel -s 127.0.0.1 -l application -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/application.log
dumpel -s 127.0.0.1 -l security -f %DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%/security.log
@echo ******* Finish Backup Eventlog ******
star /min del_eventlog.vbs
———————————————————————————————————
說明:
代碼不含上下二條虛線喔!第二行是我們要建立一個以日期為名稱的資料夾
因為windows的date抓取的日期變數會是2005/02/23 星期三"這樣的文字,其內的斜線(/)或減號(-)都是用做命令列的選項符號,這樣的組合可能會造成錯誤。
在此最簡單的方法便是用環境變數的擴充功能了,用%DATE:~0,4%-%DATE:~5,2%-%DATE:~8,2%,我們就可以抓取以 2006-10-20這種格式的日期,4~6行則是利用dumpel 這支程式把 security 、application 、system 三項log記錄匯出來以txt檔備份到以當天日期命名的資料夾裡,ip我是用本機,請依照自己的需要改成你自己主機的ip,star /min del_eventlog.vbs這行則是在備份完之後清空系統的log記錄,原因,前面我們己經說過了!把上面的源碼copy並存成.bat或.cmd 的檔名就可以了!
2.del_eventlog.vbs
————————————-源代碼 ———————————————————–
‘刪除Evenlog
strComputer= "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles=objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName=’"&logs&"’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
Next
———————————————————————————————————
說明:
代碼不包含上下二條虛線喔!這支是清空系統eventlog的wsh編程 scripts,這裡就不多做介紹了,有興趣可以到微軟的腳本範例網站看看,上面有對wsh的做很多的介紹也有範例檔可下來研究!
http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx
以上三支scripts我有提供我寫好的碼代碼在附件裡,大家可以玩看看,歡迎修改,
eventlog的備份也許有些人覺得沒什麼重要,但以筆者我,在管理大量主機時,尤其我又是管理線上遊戲服務器,對於系統異常狀況的掌控就是非常重要的了~
參考至:http://blog.infinity.idv.tw/index.php/2010/11/02/windows%E7%B3%BB%E7%B5%B1%E6%97%A5%E8%AA%8C%E7%AE%A1%E7%90%86/
訂閱:
文章 (Atom)