实验目的:
2.编程(c、c++、c#语言或其他语言)实现操作系统日志信息的读取
实验设备:
安装Windows 2000/2003/XP或更高级别的Windows操作系统的主机。
所用软件:
Visual Studio.Net
实验步骤:
1.了解操作系统的日志意义,存储,读取
以Windows2000/XP为例,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。 日志文件默认位置: 应用程序日志、安全日志、系统 日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT
系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT
应用程序日志:%sys temroot%\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\
默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\
默认每天一个日志 Scheduler服务日志默认位置:%sys temroot%\
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG日志审计文件在注册表中的位置:
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中的位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
Windows NT/2000主要有以下三类日成记录系统事件: 应用程序日志
记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份操作后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户使用应用程序日志。
系统日志
记录由Windows NT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
安全日志
记录与安全相关事件,包括成功和不成功的登录或退出、系统资源使用事件等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。
2.c#语言实现操作系统日志信息的读取
Windows NT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区。
利用C#编程,查看系统日志,介绍两个日志类:EventLog和EventLogEntry类,以及与系统日志进行交互。
.NET框架类库提供了EventLog类和EventLogEntry类与系统日志进行交互.二者属于System.
Diagnostics命名空间.
首先声明一变量:private EventLogEntryCollection eventCollection 代表系统日志的集合.
EventLog类的属性主要有:
Entris返回一个EventLogEntryCollection型值,代表事件日志的内容.
Log 获取或者返回日志的名称,其中应用程序日志是Application,系统日志是System,安全日志是Security,默认值为空字符串. LogDisplayName 获取事件日志的友好名称
MachineName 获取或设置在其上读取或写入事件的计算机名称
Source 获取或设置在写入事件日志时要注册和使用的源名称
EventEntryCollection类定义EventLogEntry实例集合的大小和枚举数.
EventLogEntry类的一些主要属性如下:
Category 获取与该项的CategoryNumber对应的文本
CategoryNumber 获取该项的类别号
Data 获取与该项对应的二进制数据
EntryType 获取该项的事件类型,其值属于EventLogEntryType枚举,这个枚举的主要成员如下:
Error 错误事件,它指示用户应该知道的严重问题,比如功能或数据丢失
FailureAudit 失败审核事件.它指示当审核访问尝试失败,比如打开文件的尝试失败时发生的安全事件
Information 信息事件.它指示重要,成功的事件
SuccessAudit 成功审核事件.它指示当审核访问尝试成功,比如成功登录时发生的安全事件
Warning 警告事件.它指示并不立即具有重要性的问题,但此问题可能表示将来会导致问题的条件.
EventID 获取此事件项的应用程序特定事件标识符
Index 获取该项在事件日志中的索引
MachineName 获取在产生该项的计算机的名称
Message 获取与该事件的本地化消息
ReplacementStrings 获取对应该项替换字符串
Source 获取生成该事件的应用程序的名称
TimeGenerated 获取生成该事件的本地时间
TimeWritten 获取在日志写入该事件的本地时间
UserName 获取负责该事件的用户的名称
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议