很多攻击者忘了清理系统日志，非常容易看到详细的history命令，黑客的操作一目了然。不过，一些脚本实施后，最后清理系统日志往往变得困难，系统日志被清理往往变得异常。可以重点看看剩下的系统日志，或者关注网络水平是否有其他安全设定。Linux的所有文件和开源的特性，在追踪过程中也有好处和坏处，rootkit是最麻烦的事情。系统中常用的命令明确变更和更换，因此该系统完全不可靠，在调查追踪过程中很难发现对安全服务的人有很高的技术要求。Windows平台下的跟踪比较简单。不过，基本依靠windows的系统日志通常用eventvwr命令打开事件监视器。默认情况下，应用程序、安全性、性系统以evt文件的形式存储在%systemrot%\system32\config目录中，合理使用筛选器可以帮助我们更好地调查系统日志。比如，质疑暴力破解入侵的筛选事件ID==4726审查不成功的系统日志，然后分析时间的调查、来源IP地址、类型和请求的频率，判断来源于内部网络的暴力破解是否通过系统内部的系统日志来判断是否是恶意的运行状态，确认logntyp的数值，确认暴力破解相对成功的系统

sourceWINDOwindos_RDP_INTERACTIVE=2

sourceWINDOwindos_RDP_UNLIAK=7

sourceWINDOwindos_RDP_REMOTERACTIVE=10

sourceWINDOwindos_SMB_NETWORK=3

Windows系统的补丁比较重要，一些重要的补丁容易受到攻击。关注ms17-10ms08-067ms16-032等普遍的安全补丁。sysintemfo可以看到现在系统中安装的补丁。此外，windows下还包括许多域名控制的安全日志。因为内容太多，所以不进行说明。跟踪基本想恢复攻击路径，通过windows系统日志理解访问关系攻击者的攻击链，向用户说明即可。