1. 日志安全配置








Next 将脚本保存为.vbs后缀即可运行。
2. 日志查询与备份
定期备份日志是安全运维的关键，可通过工具或脚本实现：




脚本备份：通过WMI脚本可备份指定日志，示例备份应用程序日志脚本如下：



注：脚本备份日志为evt原始格式，无法用记事本直接查看。
三、黑客视角：日志的清除与伪造
1. 日志清除











Next next 2. 日志伪造
单纯删除日志易被察觉，黑客会通过以下方式伪造日志：  VBS脚本伪造：利用Wscript.shell的logevent方法创建日志，仅支持写入应用程序日志，来源固定为WSH，示例代码：



eventtype参数可选值：0（成功执行）、1（执行出错）、2（警告）、4（信息）、8（成功审计）、16（故障审计）。
eventcreate.exe工具伪造（XP及以上系统）：支持自定义日志来源、类型、ID等，无法创建安全日志，命令格式示例：

这种就是比较高级的网络技术了~~