做好日志文件挪移准备

    为了让服务器的日志文件不被外人随意访问，我们必须让日志文件挪移到一个其他人根本无法找到的地方。为此，在挪移日志文件之前，我们需要在系统分区以外的位置创建一个目录，以便存储服务器的日志文件；在创建新目录时，我们必须让新目录隐藏在一个目录层次较多的位置，而且新目录的名称尽量起得复杂一些，不能让外人通过目录名称就知道对应目录是专门用来保存日志文件用的。例如，要是服务器系统安装在E分区中的话，那我们可以到F分区的一个“F:\aaa\bbb\ccc”目录下面创建一个“ddd”目录，以后我们就可以将“F:\aaa\bbb\ccc\ddd”目录作为保存服务器日志文件的位置了。

正式挪移日志文件

    做好上面的准备工作后，我们现在就可以正式开始挪移日志文件了。日志文件的挪移操作通常可以分成两个步骤，第一个步骤就是将对应的日志文件从原始位置直接拷贝到新目录位置，第二个步骤就是修改系统注册表做好服务器系统与日志文件的关联。

    首先我们先要进行日志文件的拷贝工作。在拷贝日志文件时，我们先打开服务器系统的资源管理器窗口，并进入到日志文件的原始目录窗口，例如我们在这里只要打开“E:\WINDOWS\System32\config”目录窗口就可以了；接着选中该窗口中的“SysEvent.Evt”、“SecEvent.Evt”以及“AppEvent.Evt”这三个文件，并用鼠标右键单击处于选中状态的文件，从弹出的快捷菜单中执行“复制”命令；下面再打开新目录窗口，在这里我们只要打开“F:\aaa\bbb\ccc\ddd”目录窗口就可以了，然后在该窗口的空白位置处单击鼠标右键，并执行快捷菜单中的“粘贴”命令，这样一来服务器系统的三个日志文件就全部被拷贝到新目录窗口中了。

    其次我们要修改日志文件的关联设置。在进行这项设置操作时，我们可以依次单击服务器系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入注册表编辑命令“regedit”，单击回车键后，打开系统的注册表编辑窗口；

    在该编辑窗口的左侧列表区域，用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键，在随后展开的注册表分支下面依次选择“SYSTEM”、“CurrentControlSet”、“Services”、“Eventlog”项目，在对应“Eventlog”项目下面我们会看到“System”、“Security”、“Application”这三个选项，其实它们分别对应了服务器系统的系统日志文件、安全日志文件以及应用程序日志文件；

    现在我们以修改系统日志文件关联为例，来向各位介绍一下日志文件关联设置的修改方法；在对应“System”注册表项目的右侧显示区域中，用鼠标双击“File”键值，打开如图2所示的数值设置对话框， 然后在“数值数据”文本框中，输入“F:\aaa\bbb\ccc\ddd\SysEvent.Evt”字符串内容，也就是输入系统日志文件新的路径信息，最后单击“确定”按钮；同样地，我们可以将“Security”、“Application”下面的“File”键值依次修改为“F:\aaa\bbb\ccc\ddd\SecEvent.Evt”、“F:\aaa\bbb\ccc\ddd\AppEvent.Evt”，最后按一下键盘中的F5功能键刷新一下系统注册表，就能使系统日志文件的关联设置生效了。

图2

总结：

    尽管挪移服务器日志文件的方法并不是保护服务器安全最直接、最有效的方法，不过该方法可以作为其他安全保护措施的有力补充，在该方法的帮助下，网络管理人员往往能在最短的时间内发现服务器中的潜在安全隐患，以便及时采取强有力的安全措施保护服务器被进一步受到非法攻击！