山石日誌如何存到日誌伺服器

A. 如何配置日誌伺服器來接收系統日誌

在運行中輸入（services.msc）回車，會看到本地服務的框線，tab一次就是列表： 01.顯示名稱：alerter ◎進程名稱：svchost.exe -k LocalService ◎微軟描述：通知所選用戶和計算機有關系統管理級警報。如果服務停止，使用管理警報的程序將不會收到它們。如果此服務被禁用，任何直接依賴它的服務都將不能啟動。 ◎補充描述：警報器。該服務進程名為Services.exe，一般家用計算機根本不需要傳送或接收計算機系統管理來的警示(Administrativealerts)，除非你的計算機用在區域網絡上。 ◎默認：禁用 建議：禁用 02.顯示名稱：Application Layer Gateway Service ◎進程名稱：alg.exe -k Local Service ◎微軟描述：為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的支持。 ◎補充描述：XP SP2自帶的防火牆，如果不用可以關掉。 ◎默認：手動（已啟動） 建議：禁用 03.顯示名稱：Application Management ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：提供軟體安裝服務，諸如分派，發行以及刪除。 ◎ 補充描述：應用程序管理。從Windows2000開始引入的一種基於msi文件格式的全新有效軟體管理方案:程序管理組件服務。該服務不僅可以管理軟體的安裝、刪除，還可以使用此服務修改、修復現有應用程序，監視文件復原並通過復原排除基本故障等，軟體安裝變更的服務。 ◎默認：手動 建議：手動 04.顯示名稱：Automatic Updates ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：允許下載並安裝 Windows 更新。如果此服務被禁用，計算機將不能使用 Windows Update 網站的自動更新功能。 ◎補充描述：自動更新，手動就行，需要的時候打開，沒必要隨時開著。 不過2005年4月12日以後微軟將對沒有安裝SP2的WindowsXP操作系統強制安裝系統補丁SP2。 ◎默認：自動 建議：手動 05.顯示名稱：Background Intelligent Transfer Service ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：在後台傳輸客戶端和伺服器之間的數據。如果禁用了 BITS，一些功能，如 Windows Update，就無法正常運行。 ◎補充描述：經由HTTP1.1在背景傳輸資料的東西，例如 Windows Update 就是以此為工作之一。這個服務原是用來實現http1.1伺服器之間的信息傳輸，微軟稱支持windows更新時斷點續傳。 ◎默認：手動 建議：手動 06.顯示名稱：ClipBook ◎進程名稱：clipsrv.exe ◎微軟描述：啟用「剪貼簿查看器」儲存信息並與遠程計算機共享。如果此服務終止，「剪貼簿查看器」 將無法與遠程計算機共享信息。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：剪貼簿。把剪貼簿內的信息和其它台計算機分享，一般家用計算機根本用不到。 ◎默認：禁用 建議：禁用 07.顯示名稱：COM+ Event System ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：支持系統事件通知服務(SENS)，此服務為訂閱組件對象模型(COM) 組件事件提供自動分布功能。如果停止此服務，SENS 將關閉，而且不能提供登錄和注銷通知。如果禁用此服務，顯式依賴此服務的其他服務將無法啟動。 ◎補充描述：COM+ 事件系統。有些程序可能用到 COM+ 組件，如自己的系統優化工具BootVis。檢查系統盤的目錄「C:\Program Files\ComPlus Applications」，沒東西可以把這個服務關閉。 ◎默認：手動（已啟動） 建議：手動 08.顯示名稱：COM+ System Application ◎進程名稱：dllhost.exe /Processid: ◎微軟描述：管理 基於COM+ 組件的配置和跟蹤。如果服務停止，大多數基於COM+ 組件將不能正常工作。如果本服務被禁用，任何明確依賴它的服務都將不能啟動。 ◎ 補充描述：如果 COM+ Event System 是一台車，那麼 COM+ SystemApplication 就是司機，如事件檢視器內顯示的 DCOM 沒有啟用，則會導致一些 COM+軟體無法正常運行。檢查系統盤的目錄「C:\Program Files\ComPlus Applications」，沒東西可以把這個服務關閉。 ◎默認：手動 建議：手動 09.顯示名稱：Computer Browser ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：維護網路上計算機的更新列表，並將列表提供給計算機指定瀏覽。如果服務停止，列表不會被更新或維護。如果服務被禁用，任何直接依賴於此服務的服務將無法啟動。 ◎補充描述：計算機瀏覽器。一般家庭用計算機不需要，除非你的計算機應用在區域網之上。 ◎默認：自動 建議：手動 10.顯示名稱：Cryptographic Services ◎進程名稱：svchost.exe -k netsvcs ◎ 微軟描述：提供三種管理服務: 編錄資料庫服務，它確定 Windows 文件的簽字; 受保護的根服務，它從此計算機添加和刪除受信根證書機構的證書;和密鑰(Key)服務，它幫助注冊此計算機獲取證書。如果此服務被終止，這些管理服務將無法正常運行。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認證服務，例如你使用 Automatic Updates，升級驅動程序，你就會需要這個。 ◎默認：自動 建議：自動 11.顯示名稱：DCOM Server Process Launcher ◎進程名稱：svchost -k DcomLaunch ◎微軟描述：為 DCOM 服務提供載入功能。 ◎補充描述：SP2新增的服務，DCOM（分布式組件對象模式），關閉這個服務會造成很多手動服務無法在需要的時候自動啟動，很麻煩。 關閉這個服務還有以下現象：比如一些軟體無法正常安裝，flashmx ,還有些列印機的驅動無法安裝，都提示錯誤「RPC伺服器不可用」。 ◎默認：自動 建議：自動 12.顯示名稱：DHCP Client ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：通過注冊和更改 IP 地址以及 DNS 名稱來管理網路配置。 ◎補充描述：DHCP 客戶端。沒有固定IP的的用戶還是開著吧，否則上不了網，特別是小區光纖用戶。 ◎默認：自動 建議：手動 13.顯示名稱：Distributed Link Tracking Client ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：在計算機內 NTFS 文件之間保持鏈接或在網路域中的計算機之間保持鏈接。 ◎補充描述：分布式連結追蹤客戶端。用於區域網更新連接信息，比如在電腦A有個文件，在B做了個連接，如果文件移動了，這個服務將會更新信息。對於絕大多數用戶來說，形同虛設，可以關閉，特殊用戶除外。佔用4兆內存。 ◎默認：自動 建議：手動 14.顯示名稱：Distributed Transaction Coordinator ◎進程名稱：msdtc.exe ◎微軟描述：協調跨多個資料庫、消息隊列、文件系統等資源管理器的事務。如果停止此服務，則不會發生這些事務。如果禁用此服務，顯式依賴此服務的其他服務將無法啟動。 ◎補充描述：分布式交換協調器。一般家庭用計算機用不太到，除非你啟用的Message Queuing。 ◎默認：手動 建議：手動 15.顯示名稱：DNS Client ◎進程名稱：svchost.exe -k NetworkService ◎微軟描述：為此計算機解析和緩沖域名系統 (DNS) 名稱。如果此服務被停止，計算機將不能解析 DNS 名稱並定位 Active Directory 域控制器。如果此服務被禁用，任何明確依賴它的服務將不能啟動。 ◎補充描述：DNS 客戶端。另外IPSEC需要用到。DNS解析服務。事實上，一個網站並不是只有一台伺服器在工作，基於安全性考慮，停止。 ◎默認：自動 建議：自動 16.顯示名稱：Error Reporting Service ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：服務和應用程序在非標准環境下運行時允許錯誤報告。 ◎補充描述：微軟的應用程序錯誤報告服務，對於大多數用戶來說也沒什麼用處。這個服務每當在在使用微軟的軟體時如果發生了錯誤，系統會自動將錯誤代碼作為一個備份文件，並且詢問你是否要把文件發送至微軟以尋求幫助？由於普通用戶與微軟總部聯系的機會實在是很少. ◎默認：自動 建議：禁用 17.顯示名稱：Event Log ◎進程名稱：services.exe ◎微軟描述：啟用在事件查看器查看基於 Windows 的程序和組件頒發的事件日誌消息。無法終止此服務。 ◎補充描述：事件查看器。允許事件訊息顯示在事件檢視器之上。 ◎默認：自動 建議：自動 18.顯示名稱：Fast User Switching Compatibility ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：為在多用戶下需要協助的應用程序提供管理。 ◎補充描述：另外像是注銷畫面中的切換使用者功能，一般建議採用默認手動，否則可能很多功能實現。如果你基於安全性考慮，並且不使用多用戶環境，可以停止。 ◎默認：手動（已啟動） 建議：手動 19.顯示名稱：Help and Support ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：啟用在此計算機上運行幫助和支持中心。如果停止服務，幫助和支持中心將不可用。如果禁用服務，任何直接依賴於此服務的服務將無法啟動。 ◎補充描述：如果不使用就關了吧，現實中證明沒有多少人需要它，除非有特別需求，否則建議停用。 ◎默認：自動 建議：手動 20.顯示名稱：HTTP SSL ◎進程名稱：svchost.exe -k HTTPFilter ◎微軟描述：此服務通過安全套接字層(SSL)實現 HTTP 服務的安全超文本傳送協議(HTTPS)。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：SP2新增的服務，默認就是手動，實際使用中也沒見它啟動過，就不要管它了！ ◎默認：手動 建議：手動 21.顯示名稱：Human Interface Device Access ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：啟用對智能界面設備 (HID)的通用輸入訪問，它激活並保存鍵盤、遠程式控制制和其它多媒體設 備上的預先定義的熱按鈕。如果此服務被終止，由此服務控制的熱按鈕將不再運行。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：如果沒有什麼HID裝置，可以停用。比如鍵盤上調音量的按鈕就屬於智能界面設備。 ◎默認：禁用 建議：禁用 22.顯示名稱：IMAPI CD-Burning COM Service ◎進程名稱：imapi.exe ◎微軟描述：用 Image Mastering Applications Programming Interface(IMAPI) 管理 CD 錄制。如果停止該服務，這台計算機將無法錄制 CD。如果該服務被停用，任何依靠它的服務都無法啟動。 ◎補充描述：XP 整合的 CD-R 和 CD-RW 光碟機上拖放的燒錄功能，可惜比不上燒錄軟體，關掉還可以加快Nero的開啟速度，如果習慣使用第三方軟體或者根本沒有刻錄機，那就停用。佔用1.6兆內存。 ◎默認：手動 建議：禁用 23.顯示名稱：Indexing Service ◎進程名稱：cisvc.exe ◎微軟描述：本地和遠程計算機上文件的索引內容和屬性；通過靈活查詢語言提供文件快速訪問。 ◎補充描述：索引服務。簡單的說可以讓你加快搜查速度，不過我想應該很少人和遠程計算機作搜尋吧，除非特殊工作。 ◎默認：手動 建議：手動 24.顯示名稱：Internet Connection - Firewall (ICF) / Sharing (ICS) ◎進程名稱：svchost.exe ◎微軟描述：為家庭和小型辦公網路提供網路地址轉換、定址、名稱解析和/或入侵保護服務。 ◎補充描述：在SP2中已經被Windows Firewall/Internet Connection Sharing (ICS)取代。 ◎默認：手動 建議：手動 25.顯示名稱：IPSEC Services ◎進程名稱： lsass.exe ◎微軟描述：管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。 ◎補充描述：IP 安全性服務。協助保護經由網路傳送的數據。IPSec 為一重要環節，為虛擬私人網路 (VPN) 中提供安全性，而 VPN 允許組織經由網際網路安全地傳輸數據。在某些網域上也許需要，但是一般使用者大部分是不太需要的，可停止。 ◎默認：自動 建議：手動 26.顯示名稱：Logical Disk Manager ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：監測和監視新硬碟驅動器並向邏輯磁碟管理器管理服務發送卷的信息以便配置。如果此服務被終止，動態磁碟狀態和配置信息會過時。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎ 補充描述：邏輯磁碟管理員。磁碟管理員用來動態管理磁碟，如顯示磁碟可用空間等和使用 Microsoft Management Console(MMC)主控台的功能，該服務對於經常使用移動硬碟、閃盤等外設的用戶必不可少，根據具體情況。改為手動後需要時它會通知你。 ◎默認：自動 建議：自動 27.顯示名稱：Logical Disk Manager Administrative Service ◎進程名稱：dmadmin.exe /com ◎微軟描述：配置硬碟驅動器和卷。此服務只為配置處理運行，然後終止。 ◎補充描述：邏輯磁碟管理員系統管理服務。使用 Microsoft Management Console(MMC)主控台的功能時才用到。磁碟管理服務。需要時它會通知你，所以一般手動。 ◎默認：手動 ?建議：手動 28.顯示名稱：Machine Debug Manager Service ◎進程名稱：mdm.exe ◎微軟描述：支持對 Visual Studio 和腳本調試器進行本地和遠程調試。如果該服務停止，調試器將不能正常工作。 ◎補充描述：對於開發人員使用的腳本調試器，一般不需要。 ◎默認：手動 建議：手動 29.顯示名稱：Messenger ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：傳輸客戶端和伺服器之間的 NET SEND 和 alerter 服務消息。此服務與 Windows Messenger 無關。如果服務停止，alerter 消息不會被傳輸。如果服務被禁用，任何直接依賴於此服務的服務將無法啟動。 ◎補充描述：信使服務。允許網路之間互相傳送提示信息的功能，net send 功能，如不想被騷擾話可關了。 ◎默認：禁用 建議：禁用 30.顯示名稱：MS Software Shadow Copy Provider ◎進程名稱：dllhost.exe /Processid: ◎微軟描述：管理卷影復制服務拍攝的軟體卷影復制。如果該服務被停止，軟體卷影復制將無法管理。如果該服務被停用，任何依賴它的服務將無法啟動。 ◎補充描述：如上所說的，用來備份的東西，如 MS Backup 程序就需要這個服務，但是大多數人用不到這個功能。 ◎默認：手動 建議：手動 31.顯示名稱：Net Logon ◎進程名稱：lsass.exe ◎微軟描述：支持網路上計算機 pass-through 帳戶登錄身份驗證事件。 ◎補充描述：一般家用計算機不太可能去用到登入網路審查這個服務。登陸Domain Controller用的，大眾用戶快關。如果要使用網內的域伺服器登錄到域時，啟動。 ◎默認：手動 ?建議：手動 32.顯示名稱：NetMeeting Remote Desktop Sharing ◎進程名稱：mnmsrvc.exe ◎微軟描述：使授權用戶能夠通過使用 NetMeeting 跨企業 intranet 遠程訪問此計算機。如果此服務被停用，遠程桌面服務將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：NetMeeting 遠程桌面共享。讓使用者可以將計算機的控制權分享予網路上或網際網路上的其它使用者，用NetMeeting實現電腦共享。 如果你重視安全性，就關。如果你需要用到遠程桌面求助或幫助別人就別動。 ◎默認：手動 建議：手動 33.顯示名稱：Network Connections ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：管理「網路和撥號連接」文件夾中對象，在其中您可以查看區域網和遠程連接。 ◎補充描述：網路連接。控制你的網路連接，網際網路、區域網要用的東東。關了就看不見網路連接了，不過需要的時候可以隨時打開，不影響上網！ ◎默認：手動（已啟動） 建議：手動 34.顯示名稱：Network DDE ◎進程名稱：netdde.exe ◎微軟描述：為在同一台計算機或不同計算機上運行的程序提供動態數據交換(DDE) 的網路傳輸和安全。如果此服務被終止， DDE 傳輸和安全將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：網路 DDE。一般人好像用不到。 ◎默認：禁用 建議：禁用 35.顯示名稱：Network DDE DSDM ◎進程名稱：netdde.exe ◎微軟描述：管理動態數據交換 (DDE) 網路共享。如果此服務終止，DDE 網路共享將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：網路 DDE DSDM。一般好像用不到。 ◎默認：禁用 建議：禁用 36.顯示名稱：Network Location Awareness (NLA) ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：收集並保存網路配置和位置信息，並在信息改動時通知應用程序。 ◎補充描述：如果不使用ICF和ICS可以關了它。如有網路共享或ICS/ICF可能需要(伺服器端)。對於移動辦公用戶，啟動。 ◎默認：手動（已啟動） 建議：手動 37.顯示名稱：Network Provisioning Service ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：為自動網路提供管理基於域的 XML 配置文件。 ◎補充描述： ◎默認：手動 建議：手動 38.顯示名稱：NT LM Security Support Provider ◎進程名稱：lsass.exe ◎微軟描述：為使用傳輸協議而不是命名管道的遠程過程調用(RPC)程序提供安全機制。 ◎補充描述：NTLM 安全性支持提供者。如果不使用 Message Queuing 或是Telnet Server 那就關了它，一般用戶也用不上。 ◎默認：手動 建議：手動 39.顯示名稱：Performance Logs and alerts ◎進程名稱：smlogsvc.exe ◎微軟描述：收集本地或遠程計算機基於預先配置的日程參數的性能數據，然後將此數據寫入日誌或觸發警報。如果此服務被終止，將不會收集性能信息。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：性能記錄文件及警示。記錄機器運行狀況而且定時寫入日誌或發警告，內容比較專業， 可以不用。 ◎默認：手動 建議：手動 40.顯示名稱：Plug and Play ◎進程名稱：services.exe ◎微軟描述：使計算機在極少或沒有用戶輸入的情況下能識別並適應硬體的更改。終止或禁用此服務會造成系統不穩定。 ◎補充描述：即插即用。顧名思義就是 PNP 環境，一般計算機中都需要PNP環境的支持，所以不要關閉。 ◎默認：自動 建議：自動 41.顯示名稱：Portable Media Serial Number Service ◎進程名稱：svchost.exe -k netsvcs ◎ 微軟描述：Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device. ◎補充描述：WmdmPmSN(便攜的媒體序號服務)。獲得系統中媒體播放器的序列號，用於控制盜版音樂文件復制到便攜播放器上，如MP3、MD等。該服務進程名為Svchost.exe。 ◎默認：手動 建議：手動 42.顯示名稱：Print Spooler ◎進程名稱：spoolsv.exe ◎微軟描述：將文件載入到內存中以便遲後列印。 ◎補充描述：列印多任務緩沖處理器。可以優化列印，對於列印功能有一定的幫助，如果根本沒有列印機，可以關了。 ◎默認：自動 ◎建議：手動 43.顯示名稱：Protected Storage ◎進程名稱：lsass.exe ◎微軟描述：提供對敏感數據(如私鑰)的保護性存儲，以便防止未授權的服務，過程或用戶對其的非法訪問。 ◎補充描述：受保護的存放裝置。用來儲存你計算機上密碼的服務，像 Outlook、撥號程序、其它應用程序、主從架構等等。視具體使用環境而定，在不安全的環境下建議停止。 ◎默認：自動 建議：手動 44.顯示名稱：QoS RSVP ◎進程名稱：rsvp.exe ◎微軟描述：為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地通信控制安裝功能。 ◎補充描述：QoS 許可控制，RSVP。用來保留 20% 帶寬的服務，如果你的網卡不支持802.1p 或在你計算機的網路上沒有 ACS server，那就不用多說了，關了它。 ◎默認：手動 建議：手動 45.顯示名稱：Remote Access Auto Connection Manager ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：無論什麼時候當某個程序引用一個遠程 DNS 或 NetBIOS 名或者地址就創建一個到遠程網路的連接。 ◎補充描述：如果你的機器提供網路共享服務就啟動它，以避免網路斷線後手動連接，否則停止。 ◎默認：手動 建議：手動 46.顯示名稱：Remote Access Connection Manager ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：創建網路連接。 ◎補充描述：根據具體情況而定。 ◎默認：手動 建議：手動 47.顯示名稱：Remote Desktop Help Session Manager ◎進程名稱：sessmgr.exe ◎微軟描述：管理並控制遠程協助。如果此服務被終止，遠程協助將不可用。終止此服務前，請參見「屬性」對話框上的「依存」選項卡。 ◎補充描述：遠程桌面協助服務，用於管理和控制遠程協助，，對於普通用戶來說，用處不大，可以關閉。佔用4兆內存。 ◎默認：手動 建議：手動 48.顯示名稱：Remote Procere Call (RPC) ◎進程名稱：svchost -k rpcss ◎微軟描述：提供終結點映射程序 (endpoint mapper) 以及其它 RPC 服務。 ◎補充描述：遠程過程調用。系統級服務，別去動它！ ◎默認：自動 建議：自動 49.顯示名稱：Remote Procere Call (RPC) Locator ◎進程名稱：locator.exe ◎微軟描述：管理 RPC 名稱服務資料庫。 ◎補充描述：遠程過程調用定位程序。在一般計算機上很少用到，沒什麼特殊要求，可以嘗試關了。 ◎默認：手動 建議：手動 50.顯示名稱：Remote Registry ◎進程名稱：svchost.exe -k LocalService ◎微軟描述：使遠程用戶能修改此計算機上的注冊表設置。如果此服務被終止，只有此計算機上的用戶才能修改注冊表。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎補充描述：遠程登錄注冊表服務。允許遠程用戶在許可權許可的情況下登錄本機並修改注冊表設置。一般而言，這項服務是很少用到的，而且給自己的計算機增加了不必要的危險，因此也把它設為禁止。 ◎默認：自動 建議：禁用 51.顯示名稱：Removable Storage ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：無 ◎補充描述：卸除式存放裝置。除非你有 Zip 磁碟驅動器或是 USB 之類移動式的硬體或是 Tape備份裝置，不然可以嘗試關了，現在的這方面的設備很多，建議保留。 ◎默認：手動 建議：手動 52.顯示名稱：Routing and Remote Access ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：在區域網以及廣域網環境中為企業提供路由服務。 ◎補充描述：路由和遠程訪問提供撥號聯機到網路或是 VPN 服務，一般用戶用不到，可以關閉。 ◎默認：禁用 建議：禁用 53.顯示名稱：Secondary Logon ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：啟用替換憑據下的啟用進程。如果此服務被終止，此類型登錄訪問將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。 ◎ 補充描述：Seclogon(二次登錄服務)。在多用戶使用的計算機上，某些用戶因為是非管理員許可權，導致某些程序無法執行。為了讓沒有管理員許可權的已登錄用戶可以使用這個程序，WindowsXP設計了這個功能來分配臨時的管理員許可權。該服務進程名為svchost.exe。基於安全性考慮，停止。 ◎默認：自動 建議：手動 54.顯示名稱：Security Accounts Manager ◎進程名稱：lsass.exe ◎微軟描述：存儲本地用戶帳戶的安全信息。 ◎補充描述：安全性賬戶管理員。管理賬號和群組原則(gpedit.msc)應用。 ◎默認：自動 建議：自動 55.顯示名稱：Security Center ◎進程名稱：svchost.exe -k netsvcs ◎微軟描述：監視系統安全設置和配置。 ◎補充描述：SP2的安全中心。 ◎默認：自動 建議：禁用

B. 如何搭建syslog日誌伺服器

首先我們知道日誌是什麼,日誌毫無疑問就跟我們寫日記一樣記錄我們每天做的一些事情,那麼日誌對於一台伺服器而言是至關重要的,比如說我們搭建服務的時候,服務起不來也沒提示錯誤信息,那麼這個時候就可以查看日誌來排錯了,還記錄了伺服器的運行情況已經入侵記錄等等... ,那麼我們知道一台伺服器的日誌默認是存放在本地的對於linux而言日誌一般存放於/var/log/目錄下,比如說某系統管理員管理著幾十甚至上百台伺服器的時候,默認日誌放在每台伺服器的本地,當我們每天要去看日誌的時候一台一台的看日誌是不是要郁悶死了. 沒關系在linux系統上提供了一個syslogd這樣的一個服務為我們提供日誌伺服器,他可以將多台主機和網路設備等等的日誌存到日誌伺服器上,這樣就大大減少了管理員的工作量,下面將在一台默認裝有rhel5.x的系統上搭建一台日誌伺服器.
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
系統環境：默認安裝有rhel5.8的系統
主機 角色 IP地址
server1 日誌伺服器 10.0.0.1
server2 10.0.0.2
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
實際上日誌伺服器的配置非常之簡單幾條命令就搞定了
一.配置日誌伺服器為網路中其他主機及其網路設備等等提供日誌存儲服務,也就是配置server1
1. 在server1上編輯/etc/sysconfig/syslog文件修改如下
#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS這項,如下
SYSLOGD_OPTIONS="-m 0 -r"

2 .重新啟動syslog
#service syslog restart

3.配置防火牆,syslog傳送日誌的埠是UDP的514埠防火牆在默認的情況下是阻止所有的,這里就 直接把防火牆關閉了,防火牆的配置就不介紹了
#service iptables stop
#chkconfig iptables off

ok！到這里伺服器的配置基本就結束了.
二.配置server2讓其將日誌發送到日誌伺服器上去,我們知道windows跟交換機路由器都是有日誌產 生的,它們的日誌也是可以存儲到日誌伺服器上去的,這里就只介紹linux主機的
1.配置server2上的/etc/syslog.conf定義日誌的類型以及日誌的級別和日誌存放的位置,這里就只簡 單的介紹下大體的配置思路,
#vim /etc/syslog.conf
*.* @10.0.0.1

上面的配置表示所有的日誌類型.所有的日誌的級別的日誌都將存放在10.0.0.1這台日誌伺服器上
2,重啟syslog
#service syslog restart
三.驗證
1.在server2上建一個redhat的用戶,然後到server1上的/var/log/secure文件或者/var/log/messages文件 查看日誌
#cat /var/log/secure
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash
可以看到10.0.0.2這台主機new了一個redhat的用戶

C. 如何配置路由器日誌伺服器

市面上的路由器品牌很多。以飛魚星路由器為例進行說明：
具體配置步驟：
（1）開啟系統日誌伺服器功能
點開《路由器的系統狀態》系統日誌，啟用「系統日誌伺服器」，並啟用「日誌伺服器」，輸入對應日誌伺服器的IP地址。
啟用系統日誌服務，便可在《路由器的系統狀態》系統日誌中查看路由器的常見系統更改。
以內網192.168.1.3的計算機作為日誌伺服器，則需要在這台計算機上安裝VE日誌分析軟體，之後便可在此PC機上看見內網用戶所瀏覽網址。
（2）安裝資料庫
下載MYSQL資料庫，官方下載地址：http://www.mysql.com/downloads/
安裝資料庫，設置密碼、埠號。
（3）運行「飛魚星日誌系統（VLS）」
「飛魚星日誌系統（VLS）」及具體使用方法請到http://www.adslr.com/down/文件下載中心，找到設備對應型號進行下載，下載後解壓運行Volans log system.exe，輸入資料庫的密碼、埠號（伺服器IP、用戶名不用修改），即可運行，並自動連接獲取日誌。
用戶如果是初次使用飛魚星路由器產品，建議用戶閱讀一下說明書。

D. linux日誌文件的管理、備份及日誌伺服器的搭建

日誌文件存放目錄: /var/log

[root@xing log]# cd /var/log

[root@xing log]# ls

messages：系統日誌

secure：登錄日誌

————————————————

日誌管理服務文件： vim /etc/rsyslog.conf

日誌記錄的日誌級別：最不嚴重 -> 最嚴重

debug, info, notice, warning, warn (same as warning), err, error (same

as err), crit, alert, emerg, panic (same as emerg)

測試提示：

[ming@xing etc]$ logger -p authpriv.emerg "==mingeror=="

[ming@xing etc]$

Message from syslogd@xing at Jul 18 11:00:41 ...

root: ==mingeror==

登錄日誌的錯誤信息同步寫入 「/var/log/secure 」 文件中

————————————————

日誌的異地備份

日誌的異地備份至關重要。防止別人拿到你的root許可權；用命令：echo "" > /var/log/secure 直接清空你的登錄日誌。

配置需備份日誌的客戶機（172.168.0.254）：

[root@xing etc]# vim rsyslog.conf

————————————————

配置文件修改：

#*.* @@remote-host:514

authpriv.* @@172.168.0.1:514

————————————————

[root@xing etc]# setenforce 0 //執行setenforce 0 表示 臨時關閉 selinux防火牆。

[root@xing etc]# getenforce

Permissive

[root@xing etc]# service rsyslog restart

————————————————

配置日誌記錄伺服器（172.168.0.1）：

[root@xing etc]# vim rsyslog.conf

————————————————

開啟接收埠模塊

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

———

配置備份的數據源及日誌備份存放文件

：fromhost-ip，isequal，「172.168.0.254」 /var/log/client/172.168.0.254.log

————————————————

[root@xing etc]# service rsyslog restart

———————

ss -antpl | grep 514

————————————————

注意：配置成功需關閉雙方伺服器的防火牆，或者修改防火牆配置。