Любые / все попытки получить доступ к файлу журнала (текст) записаны где-нибудь?
Журналы событий Windows - это место, где можно увидеть все, что зарегистрировано.
Control Panel\Administrative Tools\Event Viewer
это то место, куда вы идете, чтобы увидеть их. К сожалению, только некоторые из них доступны для просмотра без прав администратора.
Конечно, определенные приложения могут не использовать журналы событий и могут вместо этого использовать свои собственные файлы. В этом случае доступ к ним будет зависеть от установки приложения и параметров групповой политики.
Доступ к файлам журналов приложений НЕ будет регистрироваться, если для этого не установлен какой-либо другой инструмент.
Есть ли попытки удалить файл журнала?
Если попытка не удалась из-за настроек безопасности файла, она будет записана как ошибка аудита. Или, если утилита аудита установлена и настроена на мониторинг файла.
Каковы доступные в командной строке способы изменения файла журнала?
Непонятно, что вы подразумеваете под этим. Текстовые файлы журнала приложения - это просто текст, при условии, что они не заблокированы резервированием (например, приложение заблокировало файл, открытый для чтения или записи), их можно отредактировать любой командой, которая редактирует текст - например, Блокнот - и удалить с помощью обычная команда удаления. Или вы могли бы:
echo "rubbish" >c:\some\folder\filename.log
Который заменил бы содержимое мусором.
Все зависит от того, имеет ли пользователь без прав администратора доступ к файлу, что опять-таки зависит как от конкретной установки приложения, так и от параметров групповой политики (при условии, что вы являетесь частью домена Windows). Это также может зависеть от конкретных настроек файла / папки, применяемых администраторами.
Журналы событий Windows немного отличаются, обычный пользователь может читать некоторые журналы (например, журнал приложений), но не может их изменять.
По умолчанию, какие разрешения у меня (обычного пользователя) есть для файла журнала и папки?
Как уже говорилось, если это файл журнала приложения вне журналов событий Windows, на самом деле это невозможно предсказать. Если вы перейдете к файлу в проводнике Windows, щелкните файл правой кнопкой мыши и выберите "Свойства". Вкладка безопасности покажет вам, какие права у вас есть.
Для Журналов событий Windows пользователи имеют доступ только для чтения к Приложению, Системным журналам. Они могут иметь другие, если установлены конкретные приложения. Например, Internet Explorer имеет собственный журнал. Однако они не будут иметь никакого доступа к журналу безопасности. Однако эти параметры можно изменить в групповых политиках.
Могу ли я без прав администратора изменять файлы журналов или папки?
Смотрите ответы выше.
Предположительно, если бы я находился в другой среде (Exchange Server 2003), и у меня были бы права только обычного пользователя, будет ли какая-либо разница в ответах на вышеуказанные вопросы?
Да! Может быть / Возможно! У вас вряд ли будет вообще какой-либо доступ к серверу Exchange, так как от вас не ожидается, что вы фактически войдете на сервер Exchange напрямую, только с помощью клиента, такого как Outlook. У вас не должно быть прямого доступа.
