如何查看服务器系统日志

　　这些日志信息对计算机犯罪调查人员非常有用。

所谓日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成．每条日志记录描述了一次单独的系统事件。通常情况下，系统日志

是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途：监控系统资源，审汁用户行为，对可疑行为进行报警，确定入侵行为的范围，为恢复系统提供帮助，生成调查报告，为打击计算机犯罪提供证据来源。

在windows操作系统中有一位系统运行状况的忠实记录者，它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件，它就是“事件查看器”。用户可以利用这个系统维护工具，收集有关硬件、软件、系统问题方面的信息，并监视系统安全事件，将系统和其他应用程序运行中的错误或警告事件记录下来，便于诊断和纠正系统发生的错误和问题。

可以双击“控制面板”中“管理工具”中的“事件查看器”，打开事件查看器窗口

概述

本文介绍Windows、Linux服务器查询系统的远程登录日志方法。

根据服务器所使用的操作系统不同，有以下两种查询方法。

Linux操作系统的登录日志查询

通过远程连接登录Linux服务器，使用root用户执行last命令，系统会列出最近的登录记录。

注：last命令各输出列作用及含义。

· 第一列：用户名。

· 第二列：终端位置。pts/0 （伪终端）指 ssh命令或telnet命令远程连接用户，tty指本地连接用户。

· 第三列：登录IP或者内核 。00或无内容，表示用户从本地终端连接。除重启操作，内核版本会显示在状态中。

· 第四列：开始时间。

· 第五列：结束时间（still logged in 状态：用户未退出，down 状态：直到正常关机，crash 状态：直到强制关机）。

· 第六列：持续时间。

Windows操作系统的登录日志查询

1、通过远程连接登录Windows服务器，单击 开始 > 运行（快捷键：win+R），输入eventvwrmsc并单击键盘的 Enter 回车按键，打开 事件查看器。

2、单击 Windows 日志，选中 安全 并右击，单击 查找，打开 查找 框。

3、在 查找内容（N） 处，输入“登录” 进行快速查找登录相关事件。

4、双击查找到的事件，单击 详细信息，查看 IpAddress 字段和 IpPort 字段信息。

注：

· IpAddress 字段记录的是登录过本机的IP地址。

· IpPort 字段记录的是登录过本机的端口

如何查看自己的服务器的日记 （以Windows 2003系统为例）

1、开始－－管理工具－－事件查看器－－系统 或者 控制面板－－管理工具－－事件查看器－－系统。

2、在远程客户端，运行IE浏览器，在地址栏中输入“https://Win2003服务器IP地址:8098”，如“https://19216811:8098”。在弹出的登录对话框中输入管理员的。

用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入。

到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。选择系统日志可进行查看。并且在日志管理页面中可列出Windows 2003服务器。

的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。