日志格式(精选3篇)
日志格式 篇1
1 Windows XP日志概述
日志文件是Windows系统中一个比较特殊的文件, 它记录着Windows系统中所发生的一切, 如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分, 应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log (事件记录) ”服务的保护只能被清空, 但是不能删除某一条记录。
应用程序日志、安全日志、系统日志、DNS日志等默认存放位置:%systemroot%system32 config, 默认文件大小512KB。
安全日志:%systemroot%system32 config SecEvent.EVT
系统日志:%systemroot%system32 config SysEvent.EVT
应用程序日志:%systemroot%system32 config AppEvent.EVT
可以在注册表中修改这些LOG文件的默认存放位置:
HKEY LOCAL MACHINE System CurrentControlSet Services Eventlog
2 日志文件的数据结构
2.1 日志文件头结构分析
Windows MSDN中日志文件头的结构体数据类型如下:
为了更为直观地展现出日志文件头的储存结构我们用winhex打开一个日志记录为空的日志文件, 没有事件记录, 只有文件头和文件尾。如图1所示。
可以看到前三行共48个字节是文件头部分, 接下来的40个字节是文件尾部分, 之间没有事件记录。文件头部分其内容和日志文件头结构体相一致。在这里由于日志文件的内容是空的, 所以StartOffset (第一条 (最早) 日志记录的文件内偏移量) 和EndOffset (文件尾的文件内偏移量) 相同都是0x30。这是一个空日志文件, 由于没有事件记录所以OldestRecordNumber (第一条 (最早) 日志记录的记录号) 为00 00 00 00。
2.2 日志文件尾结构分析
Windows MSDN中日志文件尾的结构体数据类型如下:
在图1中所示的日志文件, 是把日志里的事件记录清空后得到的空日志文件, 所以文件尾中的OldestRecordNumber值是1而不是0, EndRecord值0x f4 71 05 00和CurrentRecordNumber值0x 74 06 00 00都是日志事件记录清空前的值, 系统并没有将其立即更新, 而是等到再写入新事件记录时再更新。如果清空日志之前再产生一条记录的话, 那么它的文件内偏移量将是0x f4 71 05 00记录号将是0x 74 06 00 00, 即第1652个记录 (0x674=1652) 。
2.3 日志事件记录结构分析
Windows MSDN中日志事件记录的结构体数据类型如下:
现在我们用winhex打开AppEvent.Evt文件, 以其中一个事件记录为例来分析事件记录的存储结构。
由文件头部分的内容可以看出这个日志文件有3条事件记录, 因为CurrentRecordNumber值为4 (0018H 0400 00 00) 。文件的总大小为 (0020H 00 00 01 00) 0x10000即64K, 第一条事件记录从0030H处开始, 大小为对212 (0xd4) 个字节, 我们就以这条记录为例来分析。
0030H D4 00 00 00 Length该记录的长度为212个字节
0034H 4C 66 4C 65 Reserved保留值
0038H 01 00 00 00 RecordNumber记录号, 当前是第1条记录
003CH D4 44 9D 4C TimeGenerated时间代码
0040H D5 44 9D 4C TimeWritten时间代码
0044H FB 43 00 40 EventID事件ID号为17403 (0x43fb)
0048H 04 00 01 00 EventType事件类型的代码有1表示错误, 2表示警告, 4表示信息, 8成功审核等, 这里的代码为4, 表示信息。高位字是消息量NumStrings
004CH 02 00 00 00 EventCategory事件类别为2, 高位字是ReservedFlags事件的保留标记
0050H 00 00 00 00 ClosingRecordNumber事件的结束记录数其值为0
0054H 7A 00 00 00 StringOffset事件消息的偏移量 (指本事件记录内的偏移量, 本记录开始于30H, 所以事件消息的文件内偏移量应为AA)
0058H 00 00 00 00 UserSidLength用户安全标识符的大小, 如果没有则为0
005CH 7A 00 00 00 UserSidOffset用户安全标识符的偏移量
0060H 46 00 00 00 DataLength对事件进行描述的数据长度
0064H 86 00 00 00 DataOffset对事件描述的数据偏移量
0068H—0087H的内容是信息来源, 每个字母占用两个字节空间
0088H—00A7H的内容是计算机名
00A8H—00B5H服务闲置时间45856秒
00B6H—00FBH事件的描述数据大小为0x46字节
00FCH 00 00 00 00描述数据结束
0100H D4 00 00 00事件记录的长度, 事件记录内容结束。
3 手工删除修改事件记录方法实现
对windowsXP日志的文件头, 文件尾和单条事件记录的结构和存储方式都已经了解透彻了, 根据日志文件的结构来删除记录。在事件服务 (EventLog) 已启动的情况下, 由于系统对日志文件进行了保护, 一般情况下是无法修改这些文件的, 我们先把日志文件备份出来对某些记录进行删除, 然后用修改后的日志文件覆盖原有的日志文件来达到日志内容修改的目的。了解了日志文件的结构及系统的检查验证机制后理论上是可以随便更改事件记录内容的, 但是由于涉及到很多的偏移量值, 有的东西修改起来比较麻烦。
4 结束语
本文详尽描述了Windows XP日志文件的结构, 日志查看器在打开日志文件时的文件完整性验证机制, 在掌握了日志文件结构及验证机制的基础上, 借助winhex对日志事件记录进行删除及修改的具体方法。该方法能够自由删除某一条或者几条系统日志记录, 而且不留下痕迹, 但是该方法仍然不能绕过系统对当前日志文件的保护。
参考文献
[1]吴昊, 鲁海军.Windows 2000下的系统日志修改[J].网络安全技术与应用, 2005 (10) .
[2]林辉, 窦旻.系统日志的安全保护[J].计算机工程, 2003 (17) .
[3]李承康.windows操作系统日志的自动化定期归档备份[J].华南金融电脑, 2006 (11) .
日志格式 篇2
除夕一大早上,我就开始忙碌起来自己的事情,穿上新衣裳,洗脸、刷牙。一切准备就绪后,我和大爷拿着糨糊贴对联。你可别小看贴对联,这里也有学问呢。首先,得先看好哪个是上联、下联。如果要是贴倒了就会闹出笑话的。
到了晚上,万家灯火迎春节。8点春节联欢晚会终于开播了,首先主持人出来了,他们面带喜悦的笑容报幕一个又一个节目:有惊险、刺激的杂技、有动听的歌曲、有搞笑的相声小品,晚会丰富多彩风趣幽默。快到12点了,我们出去放炮,哇!除夕的夜晚真是太美了!你看那些礼花犹如一朵朵的花争奇斗艳,煞是好看!你听,那一声声震耳欲聋的鞭炮声犹如天空一道道的雷在轰响!此时,全国人民都在迎接新的一年的开始。我还放了几个穿天猴呢!一个个穿天猴带着我的理想飞向了天空,看着这些炮,我心里想:我们的祖国真是繁荣富强啊!
销售实习日志格式 篇3
今天非常兴奋滴参加了21世纪房地产的实习过程,这两周是培训。我发现这个培训教室有26人,他们来自各行各业,但都是奔着钱来的,我笑笑,我也是。这些人中,有一半是学生,包括大专生、本科生、毕业生,他们每个人的状态,让我受益良多啊。我以一个局外人的眼光对他们进行观察,发现了如下特点:本科生最木讷,他们好像以一个专家的眼光分析这个培训,很少人主动沟通,反应慢点;毕业生不知道什么原因,很深沉,很酷,也很有型,要么不聊,一聊起来就是长江黄河一般奔涌而来,令人汗颜。21世纪有专门的培训部,路面的人有2个,还有3个人在办公室做功课,不知道他们做什么,相信在安排面试之类的。培训部的负责人叫邹坤,脸色不太好,但是活力够了,可以想象在公司快节奏的工作中,要担任老师的角色还是很辛苦的。讲课的老师,根据邹坤的介绍,都是各分店的店长,他们的销售业绩名列前茅,赚钱赚得很忙,但是公司要求他们对潜在员工进行培训,怎么说。。。这个是企业文化么?第一节课:简介任课老师:徐航授课内容:21世纪房地产公司历史背景、主要业务内容范围、个人奋斗史、个人对房地产中介行业辉煌前程的判断、忽悠。。。
作为第一节课的讲师,徐航对我们并不陌生,我们很多人初次面试就是她操刀的。在课程上,她透露说,初次面试她主要看我们是不是对房地产有兴趣而且有意愿在此长期发展,其他不管。有一点我映像挺深,他提到沿海主要城市的房价,包括大连、北京、天津、上海、杭州、深圳、广州,其中平均价位最低的是天津。也就是说天津的房价还会涨。。。当然,具体怎么样还要看实际情况,但是在天津搞房地产,可能是挺好的选择。第一周第二篇又一天的实习课程,这些课持续8小时,还要穿正装,每天回去领子都是黑的,虽然焦头烂额,但是看着镜子里面得自己,还有挺满意的。一开始的培训,大部分是做游戏,会有一些规则约束你不能投机取巧,大部分是在要求跟被人交流,让别人信任,说服与妥协,这些事情。游戏做不好的人,老师会惩罚,表演节目。。。游戏之一:认识你身边的人游戏规则:所有人站成一个圈,每个人都能看到除自己以外任何一个人的脸;由老师挑出一个人,这个人先说出自己的名字(例如小明),他右边的人则要说“我是小明右边的李雷”,李雷右边的人要说“我是小明右边的李雷右边的韩梅梅”以此类推。这个游戏让人映像好深刻,说白了就是让你在顾忌面子的情况下,尽一切可能记住别人的名字。哈哈,我们这帮人从第一个人说起,就在跟着他们一遍遍重复,看得出这个游戏是在教人怎么记名字。。。重复。
之后,邹坤还有个要求,在一天内记下所有的联系方式。我比较主动,拿了个本本跑来跑去,总算记下了。和我一样跑来跑去的还有一个女生,她是专科生,挺活泼的,和别人聊天显得很主动,但是不够老练,和她一起的还有个女生,没有她外向,但是都很认真,态度非常好,都不是天津人,在租房子。。。不容易啊,相比较之下,我很惭愧。第一周第三篇学习这么紧张,甚至能和高中的气氛相提并论,让我觉得在大学生活之外能够再这么有条理的学习真是一件幸运的事。由此,我不由得相信,跟我有同样感受的大学生一定很多,他们是否会对21世纪房地产公司产生好感呢?不可否认,不同于国内其他房产中介,21世纪在培训上花了想当大的人力物力和时间。我在教室的陈列架和宣传栏中看到他们每月每季每年的个人销售冠军、团队销售冠军。这是想作为激励手段。在教室那的旁边,是一间会议室,用玻璃幕墙从房间里分割出去的一块空间,在上课的时候,偶尔能看到部门负责人在开会,他们的年龄最大的也就35岁吧,喊口号,端正地坐着,快语速是全部的印象了。第二周第一篇终于开始实质性内容的学习了,这是基础知识,是21世纪房地产对员工的4项培训中的最基础的一项。任课老师:邹坤任课内容:房地产常识具体内容:
一、房产类型:公产房与私产房
二、房产建筑类型1.1砖木结构:地基深隔音差易燃例如“租界区别墅”1.2砖混结构:公摊面积少、隔音好、保湿、防潮、不环保(例如大部“分久式家属楼”)1.3钢混结构:公摊面积大、成本高、抗震(如框架结构和框剪结构)1.4钢结构:成本高、抗震(例如奥体中心等公共建筑)
三、写字楼的功能分类:商用楼、商住两用楼
四、按形状对房子的分类:条形、电视高层/墩子楼、S型(抗震)、板式、矩尺型、V型/多角楼、小二楼/平方
五、按房屋方向分:金角SE、银角SW、铜角NE、铁脚NW
六、按层数分:1-3低层、4-6多层、7-9中高层、10-40高层、大于40超高层这些知识,直接和住户的要求相关,属于非常重要的知识,这是关于房子质量的信息,也是大部分人希望知道的信息,了解自己的房子是个什么房子,是买房子需要了解的最最基本的,也是最最重要的问题。第二周第二篇终于掌握了基础知识。。。非常喜欢被提问的感觉,但是在课堂里很少被提问的,虽然有时候自己不想举手,但是希望有问题可以思考,这至少能说明自己是在一个学习的状态下。现在慢慢的进入到了基本技能的学习了,就是画房型图。现在基本的户型包括如下几种一室一厅:直门独、中独、偏独二室一厅:中单、偏单、新a型房这个房型的优点是卧室采光通风好,缺点是客厅光线受厨房格局影响,改进方式是讲厨房和客厅打通。非常适合年轻人住的户型,整个房间南北通透,等我有钱就找这种,当然,加个通常是1室厅中最贵的。客厅比较暗,卫生间没有采光和通风。。。比较尴尬,厨房和卧室的光线不能照顾到客厅,味道会不太好,因为门如果不开痛风性较差,不过适合单身或者同居,因为卧室很舒服,对于社交少的人来说。。。相当合适2室一厅中很不错的户型,有了孩子的人最希望买这种房子过度,唯一的问题是客厅的家具因为门很多不大好摆设,而且显得房间比较小,但是小3口之家够用了,非常温馨。同中单相比,少了个卧室,甜蜜2人住所,很合适。