Server 2003中的日志信息往往非常多，要对这么多的日志信息进行分析显然是不可能的，我们可以在日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器根据自己的需要进行筛选，过滤无用的信息。如果要分析Web是否被入侵，可以打开“IIS管理器”定位到其日志文件进行查看。不过，web日志是非常多的，因此需要通过专门的工具进行分析，比如“Web Log Explorer”就是一款不错的工具，可以查看浏览者的IP及其该IP访问、下载或者修改了哪些文件等等。(图10)

　　正因为，日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作，擦除入侵痕迹。常见的手段是：

　　(1).删掉日志。这是最低级的做法，虽然消除了日志，但也暴露了入侵者自己。如果是这样，管理员看到日志被删除可以马上断定Server 2003被入侵。

　　(2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样，管理员可以实施对日志的监控保护，一旦发现日志有删除的痕迹就可以进行入侵检测。

　　(3).部分修改。这是一些高明的入侵者采用的方法，他们在入侵结束后会修改与自己相关的日志，以欺骗管理员或者嫁祸于人，金蝉脱壳。对才，管理员可以采取同上的方法，不过还要进行一定的分析。

　　最后，笔者以一个安全爱好者的角度建议管理员一定要备份好Server 2003的日志。

　　3.检查安全策略是否更改

　　Server 2003的安全级别比较高，其默认的安全策略限制了攻击者的很多行为，因此他们在入侵过程中或者入侵后往往对Server 2003的安全策略进行调整设置以利用对Server 2003的长久控制。所以，安全策略检测也是Server 2003入侵检测的一个重要方面。