使用Log Parser Lizard分析Windows日志

Log Parser Lizard是基于Log Parser的图形化工具

界面友好,早就听过该软件的大名,一直没用过,今天要通过分析日志找到删除某个文件的人,当然前提是你的文件要开启对象访问设置(文件夹属性-安全-高级-审核-添加对象访问设置,详细请google吧)
方法如下,先安装好Log Parser Lizard,事件类型选择Windows Event Log,在最下方的Query中写入如下查询语句

select * from D:\yourname.evt where EventID=560 and Strings like '%关键字%' and Message like '%DELETE%'

D:\yourname.evt是你的日志文件,或者直接输入System则为读取本机系统日志
EventID=560是限定事件ID,560指的文件特权操作,当然包含了删除动作,呵呵
Strings like ‘%关键字%’ 设置文件或文件夹关键字过滤,这里输入被删文件文件名就可以了
Message like ‘%DELETE%’ 这个限定了文件特权动作为删除动作

按此方式就可以分析出来限定关键字文件的删除日志,可以查到哪个IP和帐号删除的文件

使用tomato解决DNS域名劫持问题

近几年,国内各大电信运营商因为利益驱使纷纷开始在DNS服务器上搞域名劫持,通常的现象就是我们访问一个不存在的域名(比如我们打错了),运营商会自动跳转到一个智能域名纠错的网站,通常还包含有各种广告,很是烦人。

有时候由于一些网站使用CDN加速,甚至是正常的域名偶尔也会解析到广告IP,解决这种问题的最根本办法就是建立自己的DNS缓存服务器,我所在的公司就因为经常遇到DNS劫持和DNS服务器服务不稳定等问题而不得不自行搭建DNS缓存服务器来一劳永逸的解决问题。

不过很多个人用户无法搭建自己的DNS缓存服务器,针对个人用户有两种解决办法,一是使用自制(Linux)系统的路由器进行设置,比如Tomato固件的路由器就有类似功能,首先ping一个不存在的域名,记下解析到的IP,然后到管理界面,找到Advanced-DHCP/DNS,找到Dnsmasq,填入bogus-nxdomain=60.19.29.21

60.19.29.21这个IP是我的宽带运营商的广告IP,请按自己的做修改,可以填写多行,运营商定期会更换IP的,我就把60.19.29.21-60.19.29.25都填进去了,保存即可生效,再次ping一个不存在的域名,就会提示不存在了。

如果没有自制系统的路由器,那就需要更改本机的DNS了,改成opendns或者其他的,或者自己改hosts文件,把广告的域名都解析到本地127.0.0.1这个IP上。

Linux下让tftp忽略大小写

由于需要实现pxe启动winpe,而在windows下实现没出什么问题,可是在Linux服务端上就有问题了,原因是启动所需的文件大小写不一致,导致linux服务端无法提供正确的文件而无法启动pe,下面我们来进行以下操作,让Linux下的tftp忽略大小写:

首先,创建规则文件,来让所有tftp的文件请求中的所有字符都变成小写创建如下文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#cat /tftpboot/rules
ri ^[a-z]: # Remove “drive letters”
rg \\ / # Convert backslashes to slashes
rg \# @ # Convert hash marks to @ signs
rg /../ /..no../ # Convert /../ to /..no../
rg A a
rg B b
rg C c
rg D d
rg E e
rg F f
rg G g
rg H h
rg I i
rg J j
rg K k
rg L l
rg M m
rg N n
rg O o
rg P p
rg Q q
rg R r
rg S s
rg T t
rg U u
rg V v
rg W w
rg X x
rg Y y
rg Z z
r ^/(.*) \1

阅读全文

DFS分布式文件系统标签屏蔽

在做DFS时,客户端用户在访问DFS文件夹时候,点击右键,属性,可以看到有一个DFS标签,显示了该文件夹的网络路径。如果管理员并不想将这些信息显示给用户,可以隐藏掉DFS选项卡.

这个需求可以用组策略来实现.这个组策略是用户策略,所以这样的策略需要定义在用户所在OU上,或者可以直接定义在默认域策略上(应用到所有用户)

编辑域策略或者用户所在OU策略

展开 “用户配置管理模板windows组件windows 资源管理器”
在右侧栏中找到选项 “删除DFS选项卡”
双击并设置为 “启用”
这样用户在使用DFS文件夹的时候,就不会看到 “DFS”这个选项卡了

squid限制带宽配置

squid限速、限制带宽配置

1
2
3
4
5
6
7
8
acl xxx dstdomain .xxx.com #设置不限速的网站域名
delay_pools 2 #定义两个策略
delay_class 1 1 #定义1在class 1,可限制总带宽
delay_class 2 2 #定义2在class 2,可限制总带宽和每客户端带宽
delay_access 1 allow xxx #xxx.com应用class 1
delay_access 2 allow all #其他所有应用class 2
delay_parameters 1 1000000/1000000 #限制xxx.com访问速度为1MB/s
delay_parameters 2 512000/512000 100000/100000 #限制其他所有用户总带宽为512KB/s,每用户带宽为100KB/s

Linksys SPA3000设置

用voip好几年了,没发现太好的落地,在中国还是传统的PSTN做落地最靠谱了。
voip网关从RT31P2,到PAP2,再到家里现在用的SPA3000,一路用来都挺不错的。
不过最近家里的SPA3000出了点问题,PSTN的线路不好用了,看了设置也没发现什么问题,只好换了一个SPA3000,重新设置一下就好了,这里说一下设置方法。
Line1中设置Proxy地址为voip服务器地址,还有帐号密码,主要需要设置的是Dial Plan,默认是下面的

1
(*xx|[3469]11|0|00|[2-9]xxxxxx|1xxx[2-9]xxxxxxS0|xxxxxxxxxxxx.)

由于我的需求比较简单,只是需要直拨走voip,按#0可以拨传统的PSTN,设置如下

1
(*xx.|<#0,:>xx.<:@gw0>|xx.)

解决vsftpd上传文件在samba下乱码问题

由于特殊需求,服务器上的一个文件夹既要可以使用ftp访问,又要可以使用samba文件共享方式访问,于是在服务器上安装了samba和vsftpd(选vsftpd是因为centos安装盘上自带,偷个懒),安装使用大体没问题,但发现通过vsftpd上传的文件,在samba下看是乱码,并且很多乱码文件无法删除,估计是编码问题,搜了一下,果然如此。
其原因就是vsftp没有处理编码,而一般用IE或者别的工具上传文件就会使用GB2312编码,Linux服务器上使用的是utf8编码,用samba访问肯定造成乱码,如果使用Firefox设置默认使用UTF8编码的话就可以解决这个问题,但是没法要求客户端都统一做这个设置,并且也不能避免用户使用IE登录FTP,只好在服务器上下手了。
因为是迁就客户端,所以vsftpd上不用做修改了,只需要修改samba配置文件,让samba使用的编码更改成中文编码就可以了
在/etc/samba/smb.conf文件中[global]区域内增加如下配置,如果已有则修改成如下配置。

阅读全文

配置CUPS+SAMBA实现共享打印机自动安装驱动

使用Windows系统共享的网络打印机,在安装的时候直接右键连接就可以自动安装好驱动,而Linux下的CUPS则需要samba配合才可以实现。
配置方法参考以下链接http://www.enterprisenetworkingplanet.com/netsysm/article.php/3621876
首先我们需要下载通用驱动文件
http://www.cups.org/windows/software.php
cups-windows-6.0-1.i386.rpm
http://www.adobe.com/support/downloads/product.jsp?product=44&platform=Windows

阅读全文

openwrt上配置pxe网络启动服务

新买了个带USB接口的无线路由器(中兴H118B),终于可以尝试把PXE网络启动服务全装在路由器上了,以前只是路由器上配置dhcp指向局域网的一台TFTP,现在可以完全跑在路由器上了。
方法很简单,刷机成openwrt,这个就不说了,太简单了,我刷的是http://downloads.openwrt.org/backfire/10.03/brcm-2.4/openwrt-brcm-2.4-squashfs.trx
如果只需要传统的pxe,也就是dhcp+tftp的话,openwrt全都自带,ssh登录进路由器,输入以下指令即可

1
2
3
4
uci set dhcp.@dnsmasq[0].enable_tftp=1
uci set dhcp.@dnsmasq[0].tftp_root=/mnt/usb/tftp
uci set dhcp.@dnsmasq[0].dhcp_boot=/mnt/usb/tftp/gpxelinux.0
uci commit dhcp

阅读全文