-
Alguma tentativa / todas de acessar um arquivo de log (texto) registrado em algum lugar?
Os Logs de Eventos do Windows são o local para ver tudo o que está registrado.
Control Panel\Administrative Tools\Event Vieweré onde você vai vê-los. Infelizmente, apenas partes desses são visualizáveis sem privilégios de administrador.
Naturalmente, aplicativos específicos podem optar por não usar os logs de eventos e, em vez disso, podem usar seus próprios arquivos. Nesse caso, se você tiver acesso a eles, dependerá da instalação do aplicativo e das configurações da política de grupo.
O acesso aos arquivos de registros do aplicativo NÃO será registrado a menos que alguma outra ferramenta seja instalada especificamente para fazer isso.
-
Há alguma tentativa de excluir um arquivo de log registrado?
Não, a menos que a tentativa falhe devido a configurações de segurança no arquivo, isso será registrado como uma falha de auditoria. Ou se um utilitário de auditoria estiver instalado e configurado para monitorar o arquivo.
-
Quais são as formas de linhas de comando disponíveis para modificar um arquivo de log?
Não está claro o que você quer dizer com isso. Os arquivos de log do aplicativo com base em texto são apenas texto, supondo que eles não estejam bloqueados por uma reserva (por exemplo, o aplicativo bloqueou o arquivo para leitura ou gravação). Eles podem ser editados por qualquer comando que edite texto. Bloco de notas - e excluído pelo comando de exclusão usual. Ou você poderia:
echo "rubbish" >c:\some\folder\filename.logQue substituiria o conteúdo por lixo.
Isso tudo depende de um usuário não administrador poder acessar o arquivo, o que depende novamente da instalação específica do aplicativo e das configurações da política de grupo (supondo que você faça parte de um domínio do Windows). Também pode depender de configurações específicas para o arquivo / pasta aplicado pelos administradores.
Os Logs de Eventos do Windows são um pouco diferentes, um usuário normal pode ler alguns dos logs (por exemplo, o log do Aplicativo), mas não pode alterá-los.
-
Por padrão, quais são as permissões que eu (usuário normal) tenho para um arquivo de log & uma pasta?
Como explicado, se esse for um arquivo de log do aplicativo fora dos Logs de Eventos do Windows, não será realmente possível prever isso. Se você navegar para o arquivo no Windows Explorer, clique com o botão direito do mouse no arquivo e escolha Propriedades. A guia de segurança mostrará os direitos que você tem.
Para os Logs de Eventos do Windows, os usuários têm acesso somente leitura aos logs do Aplicativo, do Sistema. Eles podem ter outros se aplicativos específicos estiverem instalados. Por exemplo, o Internet Explorer possui seu próprio log. Eles não teriam, no entanto, acesso ao log de segurança. Essas configurações podem, no entanto, ser alteradas nas políticas de grupo.
-
Sem privilégios de administrador, ainda posso modificar os arquivos ou pastas de log?
Veja as respostas acima.
Supostamente, se eu estivesse em outro ambiente (Exchange Server 2003), & Eu só tenho os privilégios de um usuário normal, haverá alguma diferença nas respostas às perguntas acima?
Yes! Maybe/Probably! You are unlikely to have any access at all on an Exchange Server since you would not be expected to actually log-in to an Exchange Server directly, only using a client such as Outlook. You shouldn't have any direct access.