2022-01-09 计算机日志

计算机日志路径：

    系统日志：%systemRoot%\system32\winevt\logs\system.evtx

    安全日志：%systemRoot%\system32\winevt\logs\security.evtx 

    应用程序日志：%systemRoot%\system32\winevt\logs\Application.evtx 

日志在注册表中的键：HKEY_LOCAL_MACHINE \system\currentControlset\services\Eventlog 

日志清除方式：

     手动清除：开始>运行 ，输入：eventvwr  ，在打开的日志管理窗口中右边栏选择清除日志。

     命令行方式清除：powershell -command  "&{Clear-Eventlog -Log Application, system , security }"

                                     Get -WinEvent -List Log Application , setup , security -Force | %{Wevtutil.exe cl $_.Logname }

windows日志伪造：

使用event create 这个命令行工具来伪造日志，或者自定义大量无用信息，覆盖现有日志。

warning -d "this is a test " -id 500 

IIS 日志路径：%systemDrive%\inetpub\logs\logfiles\w3svc1\

WWW日志清除：

   停止服务：net stop w3svc 

   删除日志所有文件：del *_*

   启用服务：net start w3svc