【IT168 专稿】Windows服务器在默认状态下能对各种操作事件进行自动记忆，并将记录的内容保存到对应的系统日志、安全日志以及应用程序日志中；一旦服务器遇到安全攻击时，网络管理人员可以从日志文件下手，来寻找与安全攻击相关的蛛丝马迹，从而为保护服务器的安全提供快速应对办法。

    然而一些精明的黑客在攻击完服务器后，往往会在撤退时使用专业工具来修改服务器中的日志文件，以便将攻击过程中遗留下来的“脚印”抹除干净，这么一来我们就无法及时知道服务器是否存在安全隐患。为了有效保护好服务器的安全，我们有必要将服务器系统默认的日志文件挪移到其他人根本无法找到的位置，以确保我们可以及时找到安全隐患！

找出日志文件默认位置

     根据服务器系统的安装路径不同，日志文件的默认存放位置也是不一样的。在对服务器中的日志文件进行挪移之前，我们有必要先找出日志文件在本地服务器系统中的默认保存位置，在寻找日志文件默认位置时，我们可以按照如下方法来操作：

    首先以超级管理员身份登录进服务器系统，并在该系统的桌面中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“compmgmt.msc”，单击“确定”按钮后打开服务器系统的计算机管理窗口；

     其次在该管理窗口的左侧显示窗格中，用鼠标逐一展开“系统工具”/“事件查看器”分支项目，在“事件查看器”分支项目下面我们会看到“系统”、“安全性”以及“应用程序”这三个选项。要查看系统日志文件的默认存放位置时，我们可以直接用鼠标右键单击“事件查看器”分支项目下面的“系统”选项，从随后弹出的快捷菜单中执行“属性”命令，打开如图1所示的属性设置窗口。
 

图1

    同样地，我们可以依次找出服务器系统中安全日志的默认存放位置为“E:\WINDOWS\System32\config\SecEvent.Evt”，应用程序日志的默认存放位置为“E:\WINDOWS\system32\config\AppEvent.Evt”。