当前位置：文档库 › 系统日志文件

系统日志文件

系统日志源自航海日志：当人们出海远行的时候，总是要做好航海日志，以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件，在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在的系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。

7.1 日志文件的特殊性

要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。

7.1.1 黑客为什么会对日志文件感兴趣

黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。

7.1.2 Windows系列日志系统简介

1.Windows 98的日志文件

因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。

(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。

(2)在“管理”选项卡中单击“管理”按钮；

(3)在“Internet服务管理员”页中单击“WWW管理”；

(4)在“WWW管理”页中单击“日志”选项卡；

(5)选中“启用日志”复选框，并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。

普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。

2.Windows NT下的日志系统

Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类：

系统日志：跟踪各种各样的系统事件，记录由Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。

应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。

安全日志：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。

Windows NT的日志系统通常放在下面的位置，根据操作系统的不同略有变化。

C:\systemroot\system32\config\sysevent.evt

C:\systemroot\system32\config\secevent.evt

C:\systemroot\system32\config\appevent.evt

Windows NT使用了一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，系统管理员可以使用事件查看器选择要查看的日志条目，查看条件包括类别、用户和消息类型。

3.Windows 2000的日志系统

与Windows NT一样，Windows 2000中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图7-1所示。

图7-1

在Windows 2000中，日志文件的类型比较多，通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行。

Windows 2000日志文件默认位置：

应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。

安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT

系统日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT

应用程序日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT

Internet信息服务FTP日志默认位置：c:\systemroot\sys

tem32\logfiles\msftpsvc1\。

Internet信息服务WWW日志默认位置：c:\systemroot\sys

tem32\logfiles\w3svc1\。

Scheduler服务器日志默认位置：c:\systemroot\schedlgu.txt 。该日志记录了访问者的IP，访问的时间及请求访问的内容。

因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW 日志，故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显，所以高级黑客们根本不会用这种方法来传文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下，默认是每天一个日志文件，

FTP和WWW日志可以删除，但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来，如果用户需要尝试删除这些文件，通过一些并不算太复杂

的方法，例如首先停止某些服务，然后就可以将该日志文件删除。具体方法本节略。

Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能，它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而是通过分类的方式将各种事件整理好，让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析，避免了一个个单独去分析的麻烦。

4.Windows XP日志文件

说Windows XP的日志文件，就要先说说Internet连接防火墙(ICF)的日志，ICF 的日志可以分为两类：一类是ICF审核通过的IP数据包，而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下，文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)，分为两部分，分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明，需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息，包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。当我们在WindowsXP 的“控制面板”中，打开事件查看器，如图7-2所示。

就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件，当你单击其中任一文件时，就可以看见日志文件中的一些记录，如图7-3所示。

图7-2 图7-3

在高级设备中，我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作，如图7-4所示。

图7-4

若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。另外，我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。

5.日志分析

当日志每天都忠实的为用户记录着系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析、汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不同的情况采取必要的措施。

7.2 系统日志的删除

因操作系统的不同，所以日志的删除方法也略有变化，本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。

7.2.1 Windows 98下的日志删除

在纯DOS下启动计算机，用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后，系统会检查日志文件的存在，如果发现日志文件不存在，系统将自动重建一个，但原有的日志文件将全部被消除。

7.2.2 Windows 2000的日志删除

Windows 2000的日志可就比Windows 98复杂得多了，我们知道，日志是由系统来管理、保护的，一般情况下是禁止删除或修改，而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们。

我们将针对应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件，就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件，但安全日志就必须要使用系统中的“事件查看器”来控制它，打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它如图7-5所示。

图7-5

输入远程计算机的IP，然后需要等待，选择远程计算机的安全性日志，点击属性里的“清除日志”按钮即可。

7.3 发现入侵踪迹

如何当入侵者企图或已经进行系统的时候，及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库，我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。

我们先来学习一下如何利用端口的常识来判断是否有入侵迹象：

电脑在安装以后，如果不加以调整，其默认开放的端口号是139，如果不开放其它端口的话，黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话，而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况，我们就可以判断有黑客利用电子信件或其它方

法在系统中植入的特洛伊木马。此时，我们就可以采取一些方法来清除它，具体方法在本书的相关章节可以查阅。

7.3.1 遭受入侵时的迹象

入侵总是按照一定的步骤在进行，有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。

1.扫描迹象

当系统收到连续、反复的端口连接请求时，就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测，但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。

2.利用攻击

当入侵者使用各种程序对系统进行入侵时，系统可能报告出一些异常情况，并给出相关文件(IDS常用的处理方法)，当入侵者入侵成功后，系统总会留下或多或少的破坏和非正常访问迹象，这时就应该发现系统可能已遭遇入侵。

3.DoS或DDoS攻击迹象

这是当前入侵者比较常用的攻击方法，所以当系统性能突然间发生严重下降或完全停止工作时，应该立即意识到，有可能系统正在遭受拒绝服务攻击，一般的迹象是CPU占用率接近90%以上，网络流量缓慢、系统出现蓝屏、频繁重新启动等。

7.3.2 合理使用系统日志做入侵检测

系统日志的作用和重要性大家通过上几节的讲述，相信明白了不少，但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情，然而，由于日志记录增加得太快了，最终使日志只能成为浪费大量磁盘空间的垃圾，所以日志并不是可以无限制的使用，合理、规范的进行日志管理是使用日志的一个好方法，有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具，解决这个问题。

要最大程度的将日志文件利用起来，就必须先制定管理计划。

1.指定日志做哪些记录工作？

2.制定可以得到这些记录详细资料的触发器。

7.3.3 一个比较优秀的日志管理软件

要想迅速的从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具。Surfstats Log Analyzer4.6就是这么一款专业的日志管理工具。网络管理员通过它可以清楚的分析“log”文件，从中看出网站目前的状况，并可以从该软件的“报告”中，看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼，从而帮你准确地了解网站状况。

这个软件最主要的功能有：

1、整合了查阅及输出功能，并可以定期用屏幕、文件、FTP或E-mail的方式输出结果；

2.可以提供30多种汇总的资料；

3.能自动侦测文件格式，并支持多种通用的log文件格式，如MS IIS的W3 Extended log格式；

4.在“密码保护”的目录里，增加认证(Authenticated)使用者的分析报告；

5.可按每小时、每星期、或每月的模式来分析；

6.DNS资料库会储存解析(Resolved)的IP地址；

7.每个分析的画面都可以设定不同的背景、字型、颜色。

发现入侵踪迹的方法很多，如入侵检测系统IDS就可以很好的做到这点。下一节我们将讲解详细的讲解入侵检测系统。

7.4 做好系统入侵检测

7.4.1 什么是入侵检测系统

在人们越来越多和网络亲密接触的同时，被动的防御已经不能保证系统的安全，针对日益繁多的网络入侵事件，我们需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具，这种工具要求能对潜在的入侵行为作出实时判断和记录，并能在一定程度上抗击网络入侵，扩展系统管理员的安全管理能力，保证系统的绝对安全性。使系统的防范功能大大增强，甚至在入侵行为已经被证实的情况下，能自动切断网络连接，保护主机的绝对安全。在这种情形下，入侵检测系统IDS(Intrusion Detection System)应运而生了。入侵检测系统是基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品

它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部入侵信号和内部的非法活动，在系统受到危害前发出警告，对攻击作出实时的响应，并提供补救措施，最大程度地保障系统安全。

NestWatch

这是一款运行于Windows NT的日志管理软件，它可以从服务器和防火墙中导入日志文件，并能以HTML的方式为系统管理员提供报告。

7.4.2 入侵检测系统和日志的差异

系统本身自带的日志功能可以自动记录入侵者的入侵行为，但它不能完善地做好入侵迹象分析记录工作，而且不能准确地将正常的服务请求和恶意的入侵行为区分开。例如，当入侵者对主机进行CGI扫描时，系统安全日志能提供给系统管理员的分析数据少得可怜，几乎全无帮助，而且安全日志文件本身的日益庞大的特性，使系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹。入侵检测系统就充分的将这一点做的很好，利用入侵检测系统提供的报告数据，系统管理员将十分轻松的知晓入侵者的某些入侵企图，并能及时做好防范措施。

7.4.3 入侵检测系统的分类

目前入侵检测系统根据功能方面，可以分为四类：

1.系统完整性校验系统(SIV)

SIV可以自动判断系统是否有被黑客入侵迹象，并能检查是否被系统入侵者更改了系统文件，以及是否留有后门(黑客们为了下一次光顾主机留下的)，监视针对系统的活动(用户的命令、登录/退出过程，使用的数据等等)，这类软件一般由系统管理员控制。

2.网络入侵检测系统(NIDS)

NIDS可以实时的对网络的数据包进行检测，及时发现端口是否有黑客扫描的迹象。监视计算机网络上发生的事件，然后对其进行安全分析，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。

3.日志分析系统(LFM)

日志分析系统对于系统管理员进行系统安全防范来说，非常重要，因为日志记录了系统每天发生的各种各样的事情，用户可以通过日志记录来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有：审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时，日志分析系统就可以起作用了，它帮助系统管理员从日志中获取有用的信息，使管理员可以针对攻击威胁采取必要措施。

4.欺骗系统(DS)

普通的系统管理员日常只会对入侵者的攻击作出预测和识别，而不能进行反击。但是欺骗系统(DS)可以帮助系统管理员做好反击的铺垫工作，欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者，当系统管理员通过一些方法获得黑客企图入侵的迹象后，利用欺骗系统可以获得很好的效果。例如重命名NT上的administrator账号，然后设立一个没有权限的虚假账号让黑客来攻击，在入侵者感觉到上当的时候，管理员也就知晓了入侵者的一举一动和他的水平高低。

7.4.4 入侵检测系统的检测步骤

入侵检测系统一般使用基于特征码的检测方法和异常检测方法，在判断系统是否被入侵前，入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对网络或主机上安全漏洞进行扫描，查找非授权使用网络或主机系统的企图，并从几个方面来判断是否有入侵行为发生。

检测系统接着会检查网络日志文件，因为黑客非常容易在会在日志文件中留下蛛丝马迹，因此网络日志文件信息是常常作为系统管理员检测是否有入侵行为的主要方法。取得系统管理权后，黑客们最喜欢做的事，就是破坏或修改系统文件，此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象，从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较，从而发现是否被入侵。例如：系统遭受DDoS分布式攻击后，系统会在短时间内性能严重下降，检测系统此时就可以判断已经被入侵。

入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时，入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配，检测准确率相当的高，让用户感到不方便的是，需要不断的升级数据库。否则，无法跟上网络时代入侵工具的步伐。入侵检测的实时保护功能很强，作为一种“主动防范”的检测技术，检测系统能迅速提供对系统攻击、网络攻击和用户误操作的实时保护，在预测到入侵企图时本身进行拦截和提醒管理员预防。

7.4.5 发现系统被入侵后的步骤

1.仔细寻找入侵者是如何进入系统的，设法堵住这个安全漏洞。

2.检查所有的系统目录和文件是否被篡改过，尽快修复。

3.改变系统中的部分密码，防止再次因密码被暴力破解而生产的漏洞。

7.4.6 常用入侵检测工具介绍

https://www.wendangku.net/doc/6b10683988.html,Prowler

作为世界级的互联网安全技术厂商，赛门铁克公司的产品涉及到网络安全的方方面面，特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面，赛门铁克的先进技术的确让人惊叹！NetProwler就是一款赛门铁克基于网络入侵检测开发出的工具软件，NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术，使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。

(1)NetProwler的体系结构

NetProwler具有多层体系结构，由Agent、Console和Manager三部分组成。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器，安装时应与企业的网络结构和安全策略相结合。Console负责从代理处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应，执行控制台发布的命令，将代理发出的攻击警告传递给控制台。

当NetProwler发现攻击时，立即会把攻击事件记入日志并中断网络连接、创建一个报告，用文件或E-mail通知系统管理员，最后将事件通知主机入侵检测管理器和控制台。

(2)NetProwler的检测技术

NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection 状态化的动态特征检测)入侵检测技术。在这种设计中，每个攻击特征都是一组指令集，这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集，这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的网络传输内容，进行上下文比较，能够对复杂事件进行有效的分析和记录

基于SDSI技术的NetProwler工作过程如下：

第一步：SDSI虚拟处理器从网络数据中获取当今的数据包；

第二步：把获取的数据包放入属于当前用户或应用会话的状态缓冲中；

第三步：从特别为优化服务器性能的特征缓冲中执行攻击特征；

第四步：当检测到某种攻击时，处理器立即触发响应模块，以执行相应的响应措施。

(3)NetProwler工作模式

因为是网络型IDS，所以NetProwler根据不同的网络结构，其数据采集部分(即代理)有多种不同的连接形式：如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口上即可。

(4)系统安装要求

用户将NetProwler Agent安装在一台专门的Windows NT工作站上，如果NetProwler和其他应用程序运行在同一台主机上，则两个程序的性能都将受到严重影响。网络入侵检测系统占用大量的资源，因此制造商一般推荐使用专门的系统运行驱动引擎，要求它有128M RAM和主频为400MHz的Intel Pentium II 或Pentium

应用系统日志规范

应用系统日志规范在应用程序中添加程序日志记录可以跟踪代码运行时轨迹，作为日后审计的依据；并且担当集成开发环境中的调试器的作用，向文件打印代码的调试信息。本规定Jave EE项目必须使用Commons-Logging作为日志接口封装，选用Apache提供的可重用组件Log4j作为底层实现。 1.日志命名规范根日志（root logger）位于日志层次的最顶层，它的日志级别不能指派为空；不能通过使用它的名字直接得到它，而应该通过类的静态方法Logger.getRootLogger得到它（指root logger）。所有其他的日志可通过静态方法Logger.getLogger来实例化并获取，这个方法 Logger.getLogger把所想要的logger的名字作为参数，一般取本类的名字作为参数。 2.日志信息级别规范日志信息输出的优先级从高到低至少应分为五档，分别是Fatal、ERROR、WARN、INFO、DEBUG。这些级别用来指定这条日志信息的重要程度。在测试阶段可以打开所有级别的日志，系统上线后只允许输出INFO以上级别（含INFO）。各级别的日志信息作用规定如下： 2.1致命（Fatal）严重的错误，系统无法正常运行，如硬盘空间满等。这个级别很少被用，常暗含系统或者系统的组件迫近崩溃。

2.2错误（Error）系统可以继续运行，但最好要尽快修复的错误。这个级别用的较多，常常伴随Java异常，错误(Error)的环境不一定会造成系统的崩溃，系统可以继续服务接下来的请求。 2.3警告（Warn）系统可以正常运行，但需要引起注意的警告信息。这个级别预示较小的问题，由系统外部的因素造成的，比如用户输入了不符合条件的参数。 2.4信息（Info）系统运行的主要关键时点的操作信息，一般用于记录业务日志。但同时，也应该有足够的信息以保证可以记录再现缺陷的路径。这个级别记录了系统日常运转中有意义的事件。 2.5调试（Debug）系统运行中的调试信息，便于开发人员进行错误分析和修正，一般用于程序日志，关心程序操作(细粒度)，不太关心业务操作(粗粒度)。系统出现问题时，必须抛出异常，在处理异常时记录日志，且日志级别必须是前三个级别（Fatal\Error\Warning）中的一种。 3.日志配置规范所有的日志配置文件放在src目录下，编译时随同.class文件一同拷贝到(%webapp_HOME%)\WEB-INF\classes\目录下，这些配置文件必须采用properties文件的编写方法， commons-logging.properties文件用来指定commons-logging的实现为log4j，log4j.properties文件用来配置 log4j的所有参数，日志配置信息不得配置在这两个文件以外的文件中。

SQL Server 数据库清除日志的方法

SQL Server 数据库清除日志的方法方法一： 1、打开查询分析器，输入命令 BACKUP LOG database_name WITH NO_LOG 2、再打开企业管理器--右键要压缩的数据库--所有任务--收缩数据库--收缩文件--选择日志文件--在收缩方式里选择收缩至xxm,这里会给出一个允许收缩到的最小m数,直接输入这个数,确定就可以了。方法二：设置检查点，自动截断日志一般情况下，SQL数据库的收缩并不能很大程度上减小数据库大小，其主要作用是收缩日志大小，应当定期进行此操作以免数据库日志过大 1、设置数据库模式为简单模式：打开SQL企业管理器，在控制台根目录中依次点开Microsoft SQL Server-->SQL Server组-->双击打开你的服务器-->双击打开数据库目录-->选择你的数据库名称（如用户数据库cwbase1）-->然后点击右键选择属性-->选择选项-->在故障还原的模式中选择“简单”，然后按确定保存 2、在当前数据库上点右键，看所有任务中的收缩数据库，一般里面的默认设置不用调整，直接点确定 3、收缩数据库完成后，建议将您的数据库属性重新设置为标准模式，操作方法同第一点，因为日志在一些异常情况下往往是恢复数据库的重要依据方法三：通过SQL收缩日志把代码复制到查询分析器里，然后修改其中的3个参数(数据库名，日志文件名，和目标日志文件的大小)，运行即可 SET NOCOUNT ON DECLARE @LogicalFileNamesysname, @MaxMinutes INT, @NewSize INT USE tablename -- 要操作的数据库名 SELECT @LogicalFileName = 'tablename_log', -- 日志文件名 @MaxMinutes = 10, -- Limit on time allowed to wrap log. @NewSize = 1 -- 你想设定的日志文件的大小(M) -- Setup / initialize DECLARE @OriginalSizeint SELECT @OriginalSize = size FROM sysfiles WHERE name = @LogicalFileName SELECT 'Original Size of ' + db_name() + ' LOG is ' + CONVERT(VARCHAR(30),@OriginalSize) + ' 8K pages or ' + CONVERT(VARCHAR(30),(@OriginalSize*8/1024)) + 'MB' FROM sysfiles WHERE name = @LogicalFileName CREATE TABLE DummyTrans (DummyColumn char (8000) not null) DECLARE @Counter INT,

Windows日志文件解读

Windows日志文件完全解读日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。一、什么是日志文件日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。二、如何查看日志文件在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows 的正常运行，一旦出现问题，即时查找排除。三、Windows日志文件的保护日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1．修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。 2．设置文件访问权限修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。四、Windows日志实例分析在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。 1．查看正常开关机记录

windows 日志文件详解

以WINDOWS2000为例! Windows2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等，可能会根据服务器所开启的服务不同。当我们用流光探测时，比如说IPC探测，就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等，用FTP探测后，也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至饔捌舳毙枰猰svcp60.dll这个动库链接库，如果服务器没有这个文件都会在日志里记录下来，这就是为什么不要拿国内主机探测的原因了，他们记下你的IP后会很容易地找到你，只要他想找你！！还有Scheduler日志这也是个重要的LOG，你应该知道经常使用的srv.exe就是通过这个服务来启动的，其记录着所有由Scheduler服务启动的所有行为，如服务的启动和停止。日志文件默认位置：应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\sys tem32\config，默认文件大小512KB，管理员都会改变这个默认大小。安全日志文件：%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件：%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志文件：%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志 Internet信息服务WWW日志默认位置：%sys temroot%\sys tem32\logfiles\w3svc1\，默认每天一个日志 Scheduler服务日志默认位置：%sys temroot%\schedlgu.txt 以上日志在注册表里的键：应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent FTP和WWW日志详解： FTP日志和WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开，如下例： #Software: Microsoft Internet Information Services 5.0 （微软IIS5.0） #Version: 1.0 （版本1.0） #Date: 20001023 0315 （服务启动时间日期） #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 （IP地址为127.0.0.1用户名为administator试图登录）0318 127.0.0.1 [1]PASS – 530 （登录失败） 032:04 127.0.0.1 [1]USER nt 331 （IP地址为127.0.0.1用户名为nt的用户试图登录） 032:06 127.0.0.1 [1]PASS – 530 （登录失败） 032:09 127.0.0.1 [1]USER cyz 331 （IP地址为127.0.0.1用户名为cyz的用户试图登录） 0322 127.0.0.1 [1]PASS – 530 （登录失败） 0322 127.0.0.1 [1]USER administrator 331 （IP地址为127.0.0.1用户名为administrator试图登录）

虚拟机系统日志文件详解-Henry

虚拟机系统日志文件详解 Friday, October 08, 2010---Henry 除了事件和警报列表，vSphere 组件还会生成各种日志。这些日志包含有关vSphere 环境中活动的详细信息。 1、查看系统日志条目可以查看vSphere 组件生成的系统日志。访问和查看系统日志的步骤： 1 在连接vCenter Server 系统或ESX/ESXi 主机的vSphere Client 的主页中，单击系统日志。 2 在下拉菜单中，选择要查看的日志和条目。 3 选择查看> 筛选以引用筛选选项。 4 在数据字段中输入文本。 5 单击清除以清空该数据字段。 2、外部系统日志 VMware 技术支持可能会请求多个文件以帮助解决您使用产品时遇到的任何问题。本节介绍在各种ESX 4.0 组件系统上找到的日志文件的类型和位置。 ---------------------------------------------------------------------------------------------------------------------- 注意：在Windows 系统中，多个日志文件存储在位于C:\Documents and Settings\\Local Settings\的Local Settings 目录中。默认情况下，该文件夹是隐藏的。 ----------------------------------------------------------------------------------------------------------------------

数据库的事务日志已满

数据库的事务日志已满。若要查明无法重用日志中的空间的原因，请参阅sys.databases 中的log_reuse_wait_desc 列一般不建议做第4，6两步第4步不安全，有可能损坏数据库或丢失数据第6步如果日志达到上限，则以后的数据库处理会失败，在清理日志后才能恢复. 1、清空日志 DBCC SHRINKFILE(库名_log，0) DUMP TRANSACTION 库名WITH NO_LOG 2、截断事务日志：如果出现“未能在sysfiles 中找到文件库名_log'。 DBCC 执行完毕。如果DBCC 输出了错误信息，请与系统管理员联系。” 则使用这句SQL操作 BACKUP LOG 库名WITH NO_LOG DBCC SHRINKFILE(2，0) 3.收缩数据库文件(如果不压缩，数据库的文件不会减小企业管理器--右键你要压缩的数据库--所有任务--收缩数据库--收缩文件 a、选择日志文件--收缩文件至，这里会给出一个允许收缩到的最小M数，确定就可以了 b、选择数据文件--收缩文件至，这里会给出一个允许收缩到的最小M数，，确定就可以了也可以用SQL语句来完成 --收缩数据库 DBCC SHRINKDA TABASE(库名) --收缩指定数据文件，1是文件号，可以通过这个语句查询到:select * from sysfiles DBCC SHRINKFILE(1) 4.为了最大化的缩小日志文件(如果是sql 7.0，这步只能在查询分析器中进行)

a.分离数据库: 企业管理器--服务器--数据库--右键--分离数据库 b.在我的电脑中删除LOG文件 c.附加数据库: 企业管理器--服务器--数据库--右键--附加数据库此法将生成新的LOG，大小只有500多K 或用代码：下面的示例分离pubs，然后将pubs 中的一个文件附加到当前服务器。a.分离 EXEC sp_detach_db @dbname = '库名' b.删除日志文件 c.再附加 EXEC sp_attach_single_file_db @dbname = '库名'， @physname = 'c:\Program Files\Microsoft SQL Server\MSSQL\Data\库名.mdf' 5.为了以后能自动收缩，做如下设置: 企业管理器--服务器--右键数据库--属性--选项--选择"自动收缩" --SQL语句设置方式: EXEC sp_dboption '库名'，'autoshrink'，'TRUE' 6.如果想以后不让它日志增长得太大企业管理器--服务器--右键数据库--属性--事务日志 --将文件增长限制为xM(x是你允许的最大数据文件大小) --SQL语句的设置方式: alter database 库名modify file(name=逻辑文件名，maxsize=20)

文件系统实验报告

嵌入式系统实验报告(二) --嵌入式文件系统的构建 138352019陈霖坤一实验目的了解嵌入式操作系统中文件系统的类型和作用了解JFFS2文件系统的优点及其在嵌入式系统中的作用掌握利用Busybox软件制作嵌入式文件系统的方法掌握嵌入式linux文件系统的挂载过程二实验内容与要求编译BusyBox，以BusyBox为基础，构建一个适合的文件系统；制作ramdisk文件系统映像，用你的文件系统启动到正常工作状态；研究NFS作为根文件系统的启动过程。三Busybox介绍 BusyBox最初是由Bruce Perens在1996年为Debian GNU/Linux安装盘编写的,其原始构想是希望在一张软盘上能放入一个开机系统，以作为急救盘和安装盘。后来它变成了嵌入式Linux设备和系统和Linux发布版安装程序的实质标准，因为每个Linux可执行文件需要数Kb的空间，而集成两百多个程序的BusyBox可以节省大量空间。Busybox集成了包括mini-vi编辑器、/sbin/init、文件操作、目录操作、系统配置等应用程序。 Busybox支持多种体系结构，可以选择静态或动态链接，以满足不同需要。四linux文件系统文件系统是对一个存储设备上的数据和元数据进行组织的机制，linux文件系统接口设计为分层的体系结构，从而将用户接口层、文件系统实现层和操作存储设备的驱动程序分隔开。在文件系统方面，linux可以算得上操作系统中的“瑞士军刀”。Linux支持许多种文件系统，从日志型文件系统到集群文件系统和加密文件系统，而且对于使用标准的和比较奇特的文件系统以及开发文件系统来说，linux是极好的平台，这得益于linux内核中的虚拟文件系统（VFS，也称虚拟文件系统交换器）。文件结构 Windows的文件结构是多个并列的树状结构，不同的磁盘分区各对应一个树。Linux的文件结构是单个的树，最上层是根目录，其它目录都从根目录生成。不同的linux发行版集

日志记录规范

平常我的系统开发运行过程中，记录关键信息对于完善和修改提出了明确的建议。但是在现实的一些应用中的日志记录比较混乱，导致无法准确快速的定位问题发生的地方和问题发生的时候以及问题发生的场景。我就依据我平时使用log4j进行日志记录的一点心得与大家分享如何更加规范的记录日志信息，如果有不妥的问题请明示我好进行相应的改进，共同进步哈。 1.要记录什么类型日志我们的系统开发常常会涉及到系统致命错误日志，系统可控错误日志，用户操作日志和系统运行日志这四大类日志的记录。记录致命性错误用于记录会影响整个系统正常运行的错误，比如我们在开发过程中的try...catch...模块中抛出的一些未能预料到的系统错误，而且这种错误会导致系统运行失败的信息进行记录。系统可控错误日志，这一类的日志发生之后其实不会导致系统运行出现异常的，可能是对某些数据的初始化深入验证出现的问题。用户操作日志这一类日志量比较大，同时这一类日志用于跟踪用户的行为分析是非常的重要的应为可以作为用户数据挖掘发现用户的喜好等一些信息。程序运行信息记录，这一类信息用于记录子过程运行情况。 2.致命错误如何记录如上所述我们明确的错误日志，是用来记录系统费预测性错误，可能导致网站爆出黄页相应的操作流程无法进行下去。或则在一些安装程序中记录导致系统突然退出的相关信息。在防御式编程中经常使用try....catch...模块包括一个程序的运行过程，catch的最后捕获的一级Exception是我们无法控制也无法预测的系统运行异常，这里我们记录fatal致命性错误，我这里一般记录的是一场发生的堆栈信息。如下程序块： [html]view plaincopyprint? 1.try { 2. VerificationUser(user); 3. String result = OrderTicket(user,flight); 4. orderticket.trace("执行占座成功！占座成功的代码： "+result); 5. https://www.wendangku.net/doc/6b10683988.html,(user.getName()+"执行了占座操作，占座编码为"+result); 6. String ticketNo= GenariteTicket(result); 7. genariteTicket.trace("执行出票成功！出票成功票号： "+ticketNo);

Windows日志文件全解读

一、什么是日志文件日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。二、如何查看日志文件在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。三、Windows日志文件的保护日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项

MSSQL2000中没有日志文件的数据库恢复方法

MSSQL2000 中没有日志文件的数据库恢复方法由于种种原因，我们如果当时仅仅备份了 mdf 文件，那么恢复起来就是一件很麻烦的事情了。如果您的 mdf 文件是当前数据库产生的，那么很侥幸，也许你使用 sp_attach_db 或者 sp_attach_single_file_db 可以恢复数据库，但是会出现类似下面的提示信息 ########################################################## 设备激活错误。物理文件名 'C:\Program Files\Microsoft SQL Server\MSSQL\data\test_Log.LDF' 可能有误。已创建名为 'C:\Program Files\Microsoft SQL Server\MSSQL\Data\test_log.LDF' 的新日志文件。 ########################################################## 但是，如果您的数据库文件是从其他计算机上复制过来的，那么很不幸，也许上述办法就行不通了。你也许会得到类似下面的错误信息 ########################################################## 服务器: 消息 1813，级别 16，状态 2，行 1 未能打开新数据库 'test'。CREATE DATABASE 将终止。设备激活错误。物理文件名 'd:\test_log.LDF' 可能有误。 ########################################################## 当出现以上问题时，恢复的办法如下: A.我们使用默认方式建立一个供恢复使用的数据库(数据库名应该与要恢复的数据库相同，如 test)。可以在 SQL Server Enterprise Manager 里面建立。 B.停掉数据库服务器。 C.将刚才生成的数据库的日志文件 test_log.ldf 删除，用要恢复的数据库 mdf 文件覆盖刚才生成的数据库数据文件 test_data.mdf。 D.启动数据库服务器。此时会看到数据库 test 的状态为“置疑”。这时候不能对此数据库进行任何操作。 E.设置数据库允许直接操作系统表。此操作可以在 SQL Server Enterprise Manager 里面选择数据库服务器，按右键，选择“属性”，在“服务器设置”页面中将“允许对系统目录直接修改”一项选中。也可以使用如下语句来实现。

数据库选择题

第一次作业 1、以下哪个不是Oracle OEM 首页（主目录）上的标签页？（）选择一项： a. 设置 b. 性能 c. 管理 d. 维护 2、主机身份证明的设置是在哪里进行的？（）选择一项： a. ORACLE的恢复设置中 b. 控制面板的管理策略中 c. ORACLE 中的备份设置 d. 备份目录设置中 3、Oracle 安装过程中的SID指的是什么？（）选择一项： a. 用户口令 b. 用户名 c. 数据库名 d. 系统标识符 4、在SQL*Plus中，以下哪个命令可以暂停屏幕的输出？（）选择一项： a. pause b. column c. linesize d. help 5、以下哪个文件用来记录数据库中所有的改变，并且仅用于实例恢复？（）选择一项： a. 归档日志文件 b. 重做日志文件 c. 警告日志文件 d. 控制文件 6、以下哪个脚本文件用于创建数据字典视图？（）选择一项： a. catproc.sql b. sql.sql c. catalog.sql d. dictionary.sql 7、创建数据库时，Oracle从何处得到建库所需的控制文件的信息？（）选择一项： a. 从初始化参数文件获得 b. 从环境变量处获得

c. 从CREATE DATABASE命令行获得 d. 从目录下的.ctl文件中获得 8、关于控制文件，以下说法正确的是（）。选择一项： a. 对于数据库的正常运行，仅有一个控制文件是不够的 b. Oracle推荐至少有2个控制文件，并且存放在同一个磁盘上 c. Oracle推荐至少有2个控制文件，并且存放在不同的磁盘上 d. Oracle推荐只存储1个控制文件 9、执行CREATE DA TABASE命令前，必须执行先以下哪条命令？（）选择一项： a. STARTUP INSTANCE b. STARTUP NOMOUNT c. STARTUP MOUNT d. NONE OF ABOVE 10、将控制文件存放在不同的磁盘上的最大好处是（）。选择一项： a. 快速归档 b. 防止故障 c. 并行写，加快控制文件写入速度 d. 提高数据库性能 11、DESCRIBE命令的作用是什么？（）选择一项： a. 设置一行数据可以容纳的字符数 b. 在屏幕上输出一行数据 c. 列出数据表中各个列的名称和类型 d. 设置每一页的大小 12、在CREATE DA TABASE命令中，哪个子句是无效的？（）选择一项： a. MAXLOGGROUPS b. MAXLOGMEMBERS c. MAXLOGHISTORY d. MAXDATAFILE 13、手工创建数据库第一步应该做什么？（）选择一项： a. 在系统中核对SID b. 启动一个实例 c. 启动SQL*Plus，然后以SYSDBA身份连接到Oracle d. 创建一个初始化参数文件 14、在重启数据库时除了必须输入主机身份证明，还必须输入哪项内容？（）选择一项： a. 数据库身份证明

查看系统操作日志

如何查看电脑使用记录系统设置 : 怎样在日志里面记录用户地登陆、对文件地访问等信息? : "开始"—>"运行"—>""—>"计算机配置"—>"设置"—>"安全设置"—>"本地策略"—>"审计策略"—>...b5E2R。 .看计算机在哪天运行过运行了多久！（系统安装在盘) 找到:\\文件里面有你自这个系统产生以来曾经工作过地时间，包括哪天开了机开机时间关机时间！也可以进入控制面版管理工具事件查看器系统可以看到开机和关机时间. .看你最近运行过什么程序：找到:\\下.里面有记录你曾经运行过什么程序，文件最前面地及为程序名，后面地执行代码不用理他！如果你没有优化过地话这里面保存地东西应该是非常有价值地！p1Ean。 .看你最近打开过什么文件（非程序）和文件夹！开始运行

.看最近在网上做了什么…………等等显示所有文件个文件夹，找到:\ \\ 目录你慢慢探索一下这个文件夹吧如果没有进行过磁盘清理或相关优化你所有记录可全在这个里面哦（包括你上网干了什么坏事可能还能有视频，图片罪证呢！呵呵）DXDiT。 .查看最近删除了什么：这就要用到硬盘恢复工具啦把你曾经以为彻底删除掉地东西都给你翻出来哈哈！！相关软件(以下软件较旧，可以找相关新版地软件，自己去百度搜索吧）. 文件大小：更新时间：下载次数：次软件星级：★★★ 可以即时地监测你地电脑，当你地电脑有改变地时候，它会立刻提示你，从而让你作出选择. 软件分类：系统监视操作系统：授权方式：试用版RTCrp。文件大小：更新时间：下载次数：次软件星级：★★★ 可说是地加强版，有别于地一次只可以监控一个文件，可以监控一个文件夹中下地所有文件. 软件分类：系统监视操作系统：授权方式：试用版5PCzV。

数据库日志管理

一数据库日志文件管理 SQL SERVER日志清除的两种方法在使用过程中大家经常碰到数据库日志非常大的情况，在这里介绍了两种处理方法...... 方法一：一般情况下，SQL数据库的收缩并不能很大程度上减小数据库大小，其主要作用是收缩日志大小，应当定期进行此操作以免数据库日志过大。 1、设置数据库模式为简单模式：打开SQL企业管理器，在控制台根目录中依次点开Microsoft SQL Server-->SQL Server组-->双击打开你的服务器-->双击打开数据库目录-->选择你的数据库名称-->然后点击右键选择属性-->选择选项-->在故障还原的模式中选择"简单"，然后按确定保存。 2、在当前数据库上点右键，看所有任务中的收缩数据库，一般里面的默认设置不用调整，直接点确定。 3、收缩数据库完成后，建议将您的数据库属性重新设置为标准模式，操作方法同第一点，因为日志在一些异常情况下往往是恢复数据库的重要依据方法二：如果日志文件过于庞大，使用数据库收缩已经不能解决问题，可以考虑使用以下的方法。对数据库进行分离，分离后将日志文件改名，然后重新附加数据库，此时会提示没有正确的日志文件，不要管，在附加过程中会重新生成日志文件。完成后，在数据库属性中重新设置日志文件的大小，可设置为5G，这样就把原来的日志清除掉了。注意：该方法在使用过程中，可能对数据库分离时间点上的数据有影响，因此，如果出现问题，请重新恢复该部分数据。或者在停止业务一段时间后再进行操作。在SQL Server 2000企业管理器里面收缩数据库日志操作环境：Windows 2000 Server 简体中文版+ sp4、SQL Server 2000标准版+sp4 任务描述：在企业管理器里面收缩数据库日志以下为操作截屏：

任务十四：系统日志分析与服务器系统故障判断

任务14、系统日志分析与服务器系统故障判断任务描述日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。 Lilo装载的时候，会逐步显示单词“LILO”，每完成一个特定的步骤显示一个字母。如果Lilo 在某个步骤失败了,屏幕上就显示到特定字母,以指示故障发生在哪里。能力目标学会分析系统日志和服务器系统故障判断。方法与步骤系统日志分析：用vi等文字编缉工具打开相关的日志，从日志中分析各类事件。服务器系统故障判断：在开机或重启的时候，计算机都会自动开始检测各类计算机硬件及其服务是否能正常运行和启动，在提示下有助于管理人员发现故障。提示 Linux下的文件系统通常有两种，即日志文件系统和非日志文件系统，非日志文件系统在工作时，不对文件系统的更改进行日志记录。日志文件系统则是在非日志文件系统的基础上，加入了文件系统更改的日志记录。当Lilo装载的时候，会逐步显示单词“LILO”，每完成一个特定的步骤显示一个字母。如果Lilo在某个步骤失败了,屏幕上就显示到特定字母,以指示故障发生在哪里。相关知识与技能 RedHat Linux常见的路径与日志文件： /var/log/boot.log该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。 /var/log/cron该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。 /var/log/maillog该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。 /var/log/syslog默认RedHat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。 /var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。 /var/run/utmp 该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中需要查询当前用户状态的程序，如who、w、users、finger等就需要访问这个文件。 /var/log/xferlog 该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷

数据库系统形考选择题

数据库系统形考选择题 1.关于数据库管理系统的说法，错误的是（ C ）。 A．数据库管理系统与操作系统有关，操作系统的类型决定了能够运行的数据库管理系统的类型 B．数据库管理系统对数据库文件的访问必须经过操作系统才能实现 C．数据库应用程序可以不经过数据库管理系统而直接读取数据库文件 D．数据库管理系统对用户隐藏了数据库文件的存放位置和文件名 2.关于用文件管理数据的说法，错误的是（ D ）。 A．用文件管理数据，难以提供应用程序对数据的独立性 B．当存储数据的文件名发生变化时，必须修改访问数据文件的应用程序 C．用文件存储数据的方式难以实现数据访问的安全控制 D．将相关的数据存储在一个文件中，有利于用户对数据进行分类，因此也可以加快用户操作数据的效率 3.数据库系统的物理独立性是指（ D ）。 A．不会因为数据的变化而影响应用程序 B．不会因为数据存储结构的变化而影响应用程序 C．不会因为数据存储策略的变化而影响数据的存储结构 D．不会因为数据逻辑结构的变化而影响应用程序 4.数据库系统是由若干部分组成的。下列不属于数据库系统组成部分的是（ B ）。 A．数据库B．操作系统 C．应用程序D．数据库管理系统 5.数据库三级模式结构的划分，有利于（A ）。 A. 数据的独立性 B. 管理数据库文件 C. 建立数据库 D. 操作系统管理数据库 6.在数据库的三级模式中，描述数据库中全体数据的逻辑结构和特征的是（ B ）。 A．内模式 B.模式 C. 外模式 D. 其他 7.在用数据模型描述数据时，一般要求数据模型要满足三个要求。下列描述中，不属于数据模型应满足的要求的是（ A ）。 A．A．能够描述并发数据B．能够真实地模拟现实世界 B．C．容易被业务人员理解D．能够方便地在计算机上实现 8.数据模型三要素是指（B ）。 A．数据结构、数据对象和数据共享 B．数据结构、数据操作和数据完整性约束 C．数据结构、数据操作和数据的安全控制 D．数据结构、数据操作和数据的可靠性 9.下列关于实体联系模型中联系的说法，错误的是（ D ）。 A．一个联系可以只与一个实体有关 B．一个联系可以与两个实体有关 C．一个联系可以与多个实体有关

linux文件系统的比较

Linux日志文件系统及性能分析简介：日志文件系统可以在系统发生断电或者其它系统故障时保证整体数据的完整性，Linux是目前支持日志文件系统最多的操作系统之一，本文重点研究了Linux常用的日志文件系统：EXT3、ReiserFS、XFS和JFS日志技术，并采用标准的测试工具PostMark和Bonnie++对它们进行了测试，给出了详细的性能分析，对Linux服务器应用具有重要的参考价值。一、概述所谓日志文件系统是在传统文件系统的基础上，加入文件系统更改的日志记录，它的设计思想是：跟踪记录文件系统的变化，并将变化内容记录入日志。日志文件系统在磁盘分区中保存有日志记录，写操作首先是对记录文件进行操作，若整个写操作由于某种原因(如系统掉电)而中断，系统重启时，会根据日志记录来恢复中断前的写操作。在日志文件系统中，所有的文件系统的变化都被记录到日志，每隔一定时间，文件系统会将更新后的元数据及文件内容写入磁盘。在对元数据做任何改变以前，文件系统驱动程序会向日志中写入一个条目，这个条目描述了它将要做些什么，然后它修改元数据。目前Linux的日志文件系统主要有：在Ext2基础上开发的Ext3，根据面向对象思想设计的ReiserFS，由SGI IRIX系统移植过来的XFS，由IBM AIX系统移植过来的JFS，其中EXT3完全兼容EXT2，其磁盘结构和EXT2完全一样，只是加入日志技术；而后三种文件系统广泛使用了B树以提高文件系统的效率。

回页首二、Ext3 Ext3文件系统是直接从Ext2文件系统发展而来，目前Ext3文件系统已经非常稳定可靠，它完全兼容Ext2文件系统，用户可以平滑地过渡到一个日志功能健全的文件系统。Ext3日志文件系统的思想就是对文件系统进行的任何高级修改都分两步进行。首先，把待写块的一个副本存放在日志中；其次，当发往日志的I/O 数据传送完成时（即数据提交到日志），块就写入文件系统。当发往文件系统的I/O 数据传送终止时（即数据提交给文件系统），日志中的块副本就被丢弃。 2.1 Ext3日志模式 Ext3既可以只对元数据做日志，也可以同时对文件数据块做日志。具体来说，Ext3提供以下三种日志模式： ?日志（Journal ）文件系统所有数据和元数据的改变都记入日志。这种模式减少了丢失每个文件所作修改的机会，但是它需要很多额外的磁盘访问。例如，当一个新文件被创建时，它的所有数据块都必须复制一份作为日志记录。这是最安全和最慢的Ext3日志模式。 ?预定（Ordered ）只有对文件系统元数据的改变才记入日志。然而，Ext3文件系统把元数据和相关的数据块进行分组，以便把元数据写入磁盘之前写入数据块。这

K3数据库日志文件过大分析及解决方案V2.0要点

K/3数据库日志文件过大分析及解决方案本期概述 ●本文档适用于金蝶k/3（使用SQL Server 2000、SQL Server 2005作为数据库）。 ●本文档主要阐述了，在K3备份过程中,遇到:”日志文件过大,系统无法完成备份”的问题分析及解决方案。通过对本文档的学习，能够掌握这种问题产生的原因以及解决方法。版本信息 ●2009年6月10日V11.0 编写人：周素帆 ●2009年6月日V11.0 修改人：

版权信息本文件使用须知著作权人保留本文件的内容的解释权，并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明，您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定，您使用本文件的授权将自动终止，同时您应立即销毁任何已下载或打印好的本文件内容。著作权人对本文件内容可用性不附加任何形式的保证，也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考，且它们可能会随时变更，恕不另行通知。本文件中的内容也可能已经过期，著作权人不承诺更新它们。如需得到最新的技术信息和服务，您可向当地的金蝶业务联系人和合作伙伴进行咨询。著作权声明著作权所有2009 金蝶软件（中国）有限公司。

所有权利均予保留。

目录第一章报错现象及分析 (5) 一、报错现象 (5) 二、问题分析 (6) 三、关于日志文件 (6) 第二章解决方案 (8) 一、SQL 2000 (8) 1、执行数据库分离附加 (8) 2、数据库收缩操作 (18) 二、SQL 2005 (24) 1、分离附加数据库 (24) 2、收缩数据库 (27)