eventcreate.exe文件是自定义事件日志处理工具。日志对于系统安全的作用是显而易见的，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能，有的管理员很可能将这些日志重定位。

windows日志的保护

　　日志对于系统安全的作用是显而易见的，一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能。

　　概述：Windows2000的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志等等，应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB。

　　安全日志文件：%systemroot%\system32\config\SecEvent.EVT

　　系统日志文件：%systemroot%\system32\config\SysEvent.EVT

　　应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

　　这些log文件在注册表中的：

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

　　有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。