日志对于系统安全的作用是显而易见的，无论是网络管理员还是黑客都非常重视日志，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，而一个聪明的黑客往往会在入侵成功 后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。

　　一：概述：

　　Windows 2000的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB。

　　安全日志文件：%systemroot%\system32\config\SecEvent.EVT
　　系统日志文件：%systemroot%\system32\config\SysEvent.EVT
　　应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

　　这些LOG文件在注册表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。

　　二：作为网络管理员：

　　1.日志的安全配置：

　　默认的条件下，日志的大小为512KB大小，如果超出则会报错，并且不会再记录任何日志。所以首要任务是更改默认大小，具体方法：注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统，安全，应用程序等均有一个maxsize子键，修改即可。

　　下面给出一个来自微软站点的一个脚本，利用VMI来设定日志最大25MB,并允许日志自行覆盖14天前的日志：