手工清除服务器日志

在入侵过程中，远程主机的Windows系统会对入侵者的登录、注销、连接，甚至复制文件等 *** 作都进行记录，并把这些记录保存到日志文件中。在这些日志文件中，记录着入侵者登录所用的账号，以及入侵者的IP地址等信息。入侵者可以通过多种途径来擦除入侵留下的痕迹，其中手段之一就是用服务器日志进行手动清除。

具体的 *** 作步骤如下。

步骤1：先使用管理员账号与远程主机建立IPC$连接，在远程主机的控制面板窗口中双击管理工具图标，即可打开管理工具窗口。双击计算机管理图标项，即可打开计算机管理窗口。

步骤2：在其右边列表中展开计算机管理（本地）→系统工具→事件查看器选项，即可打开事件日志窗格，如图8-35所示。其中的事件日志分为 "应用程序"日志、"安全性"日志及"系统"日志3种，这3种日志分别记录了不同种类的事件。

步骤3：用鼠标右键单击要删除的日志文件，在d出的快捷菜单中选择清除命令，即可清除选中的日志。如果想彻底删除日志文件，则可以在计算机管理窗口的左窗格中展开计算机管理（本地）→服务和应用程序→服务选项，再在其右窗格中用鼠标右健单击Event Log服务，在d出的快捷菜单中选择属性命令，在打开的属性对话框中把该服务禁用，如图8-36所示。

（大图）图8-35 计算机管理窗口中的事件记录窗格

（大图）图8-36  禁用"Event Log"服务

此后，用户只要重新启动系统，该主机/服务器就不会对任何 *** 作进行日志记录了。

这里的事务日志清理是指截断事务日志并释放空间。
*** 作方法：
1、通过备份事务日志进行截断
备份时的默认选项就是Truncate the transaction log（截断事务日志），备份完成后，事务日志就会自动被截断，但这时你查看日志文件的大小还是和原来一样。所以，需要通过第二步释放日志文件占用的空间。
2、通过收缩日志文件释放日志文件占用的空间
将恢复模式由完整（Full）改为简单（Simple）
收缩（Shrink）日志文件
将恢复模式由简单（Simple）改为完整（Full）
3、收缩数据库（Shrink database）

---