Web日志记录了web服务器接收处理请求以及其运行时等各种原始信息通过对日志进行统计、分析、综合就能有效地掌握服务器运行状况发现和排除、了解客户访问分布等方便管理员更好地加强服务器维护和管理另外Web日志也是判断服务器安全个重要依据通过其可以分析判断服务器是否被入侵并通过其可以对攻击者进行反向跟踪等因此对于Web日志攻击者往往以除的而后快

　　、攻击者清除日志常用伎俩

　　1、Web服务器系统中日志

　　以Windows Server 2003平台Web服务器为例其日志包括:安全日志、系统日志、应用日志、WWW日志、FTP日志等对于前面 3类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看WWW日志和FTP日志以log文件形式存放在硬盘中具体来说这些日志对应目录和文件为:

　　(1).安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt

　　(2).系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt

　　(3).应用日志文件:C:\WINDOWS\system32\config\AppEvent.Evt

　　(4).FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　(5).WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1



　　2、非法清除日志

　　上述这些日志在服务器正常运行时候是不能被删除FTP和WWW日志删除可以先把这2个服务停止掉然后再删除日志文件攻击者般不会这么做系统和应用日志是由守护服务Event Log支持而它是没有办法停止因而是不能直接删除日志文件攻击者在拿下Web服务器后般会采用工具进行日志清除其使用工具主要是CL和CleanIISLog

　　(1).利用CL彻底清除日志

　　这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等使用操作非常简单

　　在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器和Web和FTP和计划任务相关日志其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志然后再启动 3个服务(图2)