第一篇：服务器日志安全检查

一、利用Windows自带的防火墙日志检测入侵下面是一条防火墙日志记录 2024-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2024-01-1300:35:04：表示记录的日期时间 OPEN：表示打开连接；如果此处为Close表示关闭连接 TCP：表示使用的协议是Tcp 61.145.129.133：表示本地的IP 64.233.189.104：表示远程的IP 4959：表示本地的端口 80：表示远程的端口。注：如果此处的端口为非80、21等常用端口那你就要注意了。每一条Open表示的记录对应的有一条CLOSE记录，比较两条记录可以计算连接的时间。

注意，要使用该项，需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。

二、通过IIS日志检测入侵攻击

1、认识IIS日志 IIS日志默认存放在System32LogFiles目录下，使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式 2024-01-0316:44:57218.17.90.60GET/Default.aspx-80-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000

2024-01-0316:44:57：是表示记录的时间；

218.17.90.60：表示主机的IP地址；

GET：表示获取网页的方法 /Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入式攻击对你的网站进行测试。如：“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。

-80：表示服务器的端口。

-218.17.90.60：表示客户机的IP地址。如果在某一时间或不同时间都有大量的同一IP对网站的连接那你就要注意了。

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)：表示用户的浏览器的版本操作系统的版本信息

200:表示浏览成功，如果此处为304表示重定向。如果此处为404则表示客户端错误未找到网页,如果服务器没有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。

2、检测IIS日志的方法明白了IIS日志的格式，就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不可能的，所以我们可以利用Windows本身提供了一个命令findstr。下面以寻找05年1月1日日志中包含CMD字段为例演示一下它的用法。IIS日志路径已设为Dw3c Cmd提示符下输入：findstr“cmd”dw3cex050101.log回车。怎么同一个IP出现了很多，那你可要注意了！下面是我写的几个敏感字符，仅供参考，你可以根据自己系统、网页定制自己的敏感字符，当然如果你根据这些字符作一个批处理命令就更方便了。cmd、'、、..、;、and、webconfig、global、如果你感觉findstr功能不够直观强大，你可以AutoScanIISLogFilesV1.4工具。它使用图形化界面一次可以检测多个文件。下载地址：

如果你感觉这些IIS日志中的信息记录还不够多，那么你可以做一个隐藏网页，凡是登陆到网站上都会先定向到该网页，然后你可以在该网页中添加代码，获取用户的IP、操

作系统、计算机名等信息。并将其输入到数据库中，这样即使一个攻击者使用动态的IP只要他不换系统，即使删除了IIS日志，你也可以把他找出来。

三、通过查看安全日志检测是否有成功的入侵如果你你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核，那么任何成功的入侵都将在安全日志中留下痕迹

推荐的作法：

1、建议每天最少检查一次安全日志。推荐重点检查的ID事件 529：登录失败，试图使用未知用户名或带有错误密码的已知用户名进行登录。528：用户成功登录到计算机上。539：登录失败：登录帐号在登录尝试时被锁定。此事件表明有人发动密码攻击但未成功，因而导致账户锁定

682：用户重新连接到一个已经断开连接的终端服务器会话上。终端服务攻击 683：用户在没有注销的情况下与终端服务器会话断开连接。终端服务攻击

624：一个用户帐号被创建。625：更改了用户账户类型 626：启用了用户账户 629：禁用了用户账户 630：删除了用户账户以上5个事件可能是一个攻击者试图通过禁用或删除发动攻击时使用的账户来掩盖他们的踪迹。

577:用户试图执行受到权限保护的系统服务操作。578:在已经处于打开状态的受保护对象句柄上使用权限。577、578事件中详细信息中特权说明 SeTcbPrivilege特权：此事件可以表明一个用户通过充当操作系统的一部分来试图提升安全权限，如一个用户试图将其账户添加到管理员组就会使用此特权 SeSystemTimePrivilege特权：更改系统时间。此事件可表明有一个用户尝试更改系统时间 SeRemoteShutDownPrivilege：从远程系统强制关闭 SeloadDriverPrivilege：加载或卸载驱动程序 SeSecurityPrivilege：管理审计和安全日志。在清除事件日志或向安全日志写入有关特权使用的事件是发生 SeShutDownPrivilege：关闭系统 SeTakeOwnershipPrivilege：取得文件或其他对象的所有权.此事件可表明有一个攻击者正在通过取得一个对象的所有权来尝试绕过当前的安全设置

517:日志事件被清除或修改。此事件可以表明一个攻击者企图通过修改或删除日志文件来掩盖他们的踪迹 612:更改了审计策略。此事件可以表明一个攻击者企图通过修改审计策略来掩盖他们的踪迹如为了掩盖删除日志文件的踪迹他可能先关闭系统事件的审核。

2、通过筛选器来查看重要性事件方法：点击事件查看器窗口中的查看菜单，点击筛选，点击筛选器，定义自己的筛选选项，确定即可。

3、在查看完成之后备份事件方法：点击事件查看器窗口中的操作菜单，点击导出列表，选择保存路径和文件名，如果保存类型选择了“文本文件（制表符分隔）”，将会保存为文本文件。如果保存类型选择了“文本文件（逗号分隔）”，将会保存为Excel文件。当然也可以选择另存日志文件。如果感觉这样保存麻烦也可以使用微软的resourceKit工具箱中的dumpel.exe配合计划任务可以实现定期备份系统日志。

4、删除检查过的日志文件，日志文件越少越容易发现问题。

5、配合系统日志程序日志检测可疑内容

6、使用EventCombMT工具 EventCombMT是一个功能强大的多线程工具，它可同时分析许多服务器中的事件日志，为包含在搜索条件中的每一台服务器生成一个单独的执行线程。利用它你可以定义要搜索的单个事件ID或多个事件ID，用空格分格定义一个要搜索的事件ID范围。如:528>ID<540 将搜索限定为特定的事件日志。如：只搜索安全日志将搜索限定为特定的事件消息。如：成功审计将搜索限制为特定的事件源。搜索事件说明内的特定文本。定义特定的时间间隔以便从当前日期和时间向后扫描注：要使用该工具您

需要安装WindowsServer2003ResourceKitTools.安装完成后在命令提示符下输入EventCombMT即可下载地址：http:///downloads/details.aspx?FamilyID= 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

四、通过端口检测入侵攻击

端口是攻击者最喜欢的进入的大门,所以我们要养成查看端口的习惯

1、通过netstat命令。CMD提示符下 netstat-ano:检测当前开放的端口，并显示使用该端口程序的PID。netstat-n:检测当前活动的连接如果通过以上命令发现有不明的端口开放了，不是中了木马就是开放新的服务。处理方法：打开任务管理器，在查看菜单下选择列，勾选PID，点击确定。然后根据开放端口使用的PID在任务管理器中查找使用该端口的程序文件名。在任务管理器杀掉该进程。如果任务管理器提示杀不掉，可以使用ntsd命令，格式如下：c:>ntsd-cq-pPID。如果使用该PID的进程不是单独的程序文件而是调用的Svchost或lsass(现在有很多木马可以做到这一点)。那么需要你有很志业的知识才能查找到。我的经验是下面的几种方法配合使用

在服务中查找使用Svchost或lsass的可疑服务。在命令提示符下输入tasklist/svc可以查看进程相关联的 PID和服务。利用Windows优化大师中的进程管理去查找Svchost或lsass中可疑的.dll。检查System32下最新文件:在命令提示符sytem32路径下输入dir/od 利用hijackthis工具可以查出系统启动的程序名和dll文件.下载地址：http:///downloads/details.aspx?FamilyID= 9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下载的ResourceKit安装后没有找到这个工具，其实还有很多工具这个ResourceKit没有。可能这是一个简单的ResourceKit包。后来又安装了2024 光盘上的SupportTools也没找到它。我使用了2024的 ResourceKit安装光盘，安装后，在2024上一样可以使用。不过我用了后发现系统会不稳定，所以最好找2024的ResourceKit安装光盘。这个工具由两部分组成，Svcmon.exe在你安装好ResourceKit后，默认的位于C:ProgramFilesResourceKit 文件夹下，你要将其拷贝到%SystemRoot%System32下，然后在命令提示符下输入Smconfig将打开配置向导。是图形界面，注意在ExchangeRecipients那里添如你要提醒的用户的Email。其他的按照指示做就可以了。如果发现有不正常的服务可以使用ResourceKit中的Instsrv.exe移除服务使用格式：instsrvservicenameRemove

七、检测System32下的系统文件在安装好系统后和安装新的软件后对System32文件夹做备份，然后用COMP命令定期检查该文件的内容查找可疑的文件夹或文件。COMP命令的使用格式为:命令提示符下 COMPdata1data2/L/C data1指定要比较的第一个文件的位置和名称。data2指定要比较的第二个文件的位置和名称。/L显示不同的行数。/C比较文件时不分ASCII字母的大小写。注：MS的WinDiff工具可以图形化比较两个文件

八、利用Drivers.exe来监视已安装的驱动程序现在有的攻击者将木马添加到驱动程序中，我们可以通过MS提供的Drivers工具来进行检测。在运行此工具的计算机上，此工具会显示安装的所有设备驱动程序。该工具的输出包括一些信息，其中有驱动程序的文件名、磁盘上驱动程序的大小，以及链接该驱动程序的日期。链接日期可识别任何新安装的驱动程序。如果某个更新的驱动程序不是最近安装的，可能表示这是一个被替换的驱动程序。注：Drivers.exe工具在MS的的网站下载的WindowsServer2003ResourceKitTools中也没有这个工具我是使用的2024的。

九、检查本地用户和组这个想来不用说太多，大家都知道的了，需要注意的一点是，如果使用命令行的netuser来查看，将无法查看到隐藏的用户（即用户名后加了$的），所以最好使用管理单元来查看所有用户。

十、检查网页文件，特别是有与数据库连接的文件的日期，现在有的攻击者入侵后会在网页代码中留下后门，所以如果日期发了变化，那就要注意查看了。

十一、附Server2003EnterpriseEdition安装IIS和SQL2000后默认启动的服务、进程、端口

1、已启动的服务 AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、WindowsTime、WirelessConfig、Workstation。

以下为安装IIS（只有WEB服务）后新加的启动的服务 AddService、Com+systemapplication、HttpSSL、IISAdminService、networkconnections、protectedstorage、shellhardware、wordwideweb。

以下为安装SQL2000后新增加的已启动的服务 MicrosoftSearch、NTLMSecurity、MSSQLServer2、已启动的进程 ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、sploolsv、lsass、conime:admin、services、svchost:7个其中localservice2个、networkservice1个、winlogon、csrss、smss、system、systemidleprocess。共计：22个进程，其中admin、networkservice、localservice表示用户名未注明的为System用户

以下为安装IIS后新增加的进程 wpabaln:admin、inetinfo、以下为安装SQL后新增加的进程 mssearch、sqlmangr、wowexecadmin、sqlservr3、已开启的端口 TCP:135、445、1025、1026、139 udp：445、500、1027、4500、123

以下为安装IIS后新增加的端口 tcp:80、8759注意8759这个端口是第一次安装后自动选择的一个端口，所以每台机会不同

以下为安装SQL后新增加的端口

tcp:1433 udp:68、1434

如果启用防火墙后将开启以下端口 TCP：3001、3002、3003 UDP：3004、3005

第二篇：安全检查日志

每日均可写：

1.现场施工作业人员均正确穿戴安全防护用品。

2.现场施工管理人员无违章指挥，作业人员无违章操作。

3.临电设备设施运转正常。

4.现场各机械设备运行正常。

一、万福路及Z2

基坑开挖：

1.基坑坑壁无裂痕，无坍塌迹象。

2.基坑四周有临边防护，并张贴安全警示标示。

钢筋绑扎：

1.特种作业人员均持证上岗，且严格按照安全操作规程进行作业。下雨的话可以写今日下雨，第二日则写下面内容：

1.坑内有少量积水，已开始用水泵抽出。

2.将淤泥挖运到场外，并重新回填。

3.现在临电设备均正常运行。

4.基坑坑壁完好无损坏。

清表：

1.挖掘机及冲击锤严格按照安全操作规程执行作业，作业人员均持证上岗。

二、渝新二支路：

现场封闭施工，门口张贴安全警示标语。

脚手架严格按照设计规范要求搭建。

现场临建宿舍干净整齐。

电焊工均持证上岗并严格按照安全操作规程规定内容执行作业。

现场临电设施运转正常。

灌桩：现在泵车进出场均有专人指挥。

高空作业人员均按要求佩戴安全带。

基坑开挖同上。

每日从这里面挑4-5条写就行。要跟施工日志中的内容互相对应。

第三篇：维护服务器安全维护技巧之日志分析

维护服务器安全维护技巧之日志分析

事件查看器相当于操作系统的保健医生，一些“顽疾”的蛛丝马迹都会在事件查看器中呈现，一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志，查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息，通过查看事件属性来判定错误产生的来源和解决方法，使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识，最后给出了一个安全维护实例，对安全维护人员维护系统有一定的借鉴和参考。(一)事件查看器相关知识

1.事件查看器

事件查看器是 Microsoft Windows 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器：

(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，开事件查看器窗口

(2)在“运行”对话框中手工键入“%SystemRoot%system32eventvwr.msc /s”打开事件查看器窗口。

(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

2.事件查看器中记录的日志类型

在事件查看器中一共记录三种类型的日志，即：

(1)应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

(2)安全性日志

记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

(3)系统日志

包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。

在事件查看器中主要记录五种事件，事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件：

(1)错误：重大问题，例如数据丢失或功能损失。例如，如果服务在启动期间无法加载，便会记录一个错误。

(2)警告：不一定重要的事件也能指出潜在的问题。例如，如果磁盘空间低，便会记录一个警告。

(3)信息：描述应用程序、驱动程序或服务是否操作成功的事件。例如，如果网络驱动程序成功加载，便会记录一个信息事件。

(4)成功审核：接受审核且取得成功的安全访问尝试。例如，用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。

(5)失败审核：接受审核且未成功的安全访问尝试。例如，如果用户试图访问网络驱动器但未成功，该尝试将作为“失败审核”被记录下来。

(二)维护服务器安全实例

1.打开并查看事件查看器中的三类日志

在“运行”中输入“eventvwr.msc”直接打开事件查看器，在该窗口中单击“系统”，如图1所示，单击窗口右边的类型进行排序，可以看到类型中有警告、错误等多条信息。

在高度安全环境中，Windows 安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持，但是更易被篡改。

将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求：

必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。在 Windows Vista 和 Windows Server 2024 中，使用审核策略工具(auditpol.exe)。审核策略程序公开了审核对象访问类别中的多种子策略设置。若要允许 SQL Server 审核对象访问，请配置应用程序生成的设置。

对于 Windows 的早期版本，审核策略工具不可用。请改用安全策略管理单元(secpol.msc)。如果可用，优先采用审核策略，因为可以配置更精细的设置。

SQL Server 服务正在其下运行的帐户必须拥有生成安全审核权限才能写入 Windows 安全日志。默认情况下，LOCAL SERVICE 和 NETWORK SERVICE 帐户拥有此权限。如果 SQL Server 正在其中一个帐户下运行，则不需要此步骤。

将 Windows 审核策略配置为写入 Windows 安全日志时，可能会影响 SQL Server 审核，此时若该审核策略配置不正确，就可能导致事件丢失。通常，将 Windows 安全日志设置为覆盖较旧的事件。这样可保留最新的事件。但如果 Windows 安全日志未设置为覆盖较旧的事件，则当安全日志已满时，系统将发出 Windows 事件 1104（日志已满）。此时： 不再记录其他安全事件

SQL Server 将无法检测系统是否能够在安全日志中记录事件，从而导致可能丢失审核事件 Box 管理员修复安全日志后，日志记录行为将恢复正常。

SQL Server 计算机的管理员应了解安全日志的本地设置可能会被域策略覆盖。在这种情况下，域策略可能覆盖子类别设置(auditpol /get /subcategory:“application generated”)。这可能会影响 SQL Server 在无法检测 SQL Server 尝试审核的事件是否将不被记录的情况下记录事件的能力。

您必须是 Windows 管理员，才能配置这些设置。在 Windows 中使用 auditpol 配置审核对象访问设置,如果操作系统是 Windows Vista 或 Windows Server 2024，则利用管理权限打开命令提示符。在“开始”菜单中，依次指向“所有程序”、“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。

在“用户帐户控制”对话框打开时，单击“继续”。

执行以下语句以从 SQL Server 启用审核。

auditpol /set /subcategory:“application generated” /success:enable /failure:enable

关闭命令提示符窗口。此设置将立即生效。在 Windows 中使用 secpol 配置审核对象访问设置,如果操作系统的版本早于 Windows Vista 或 Windows Server 2024，则在“开始”菜单上单击“运行”。键入 secpol.msc，然后单击“确定”。在显示“用户访问控制”对话框时，单击“继续”。在“本地安全策略”工具中，依次展开“安全设置”、“本地策略”，然后单击“审核策略”。在结果窗格中，双击“审核对象访问”。在“本地安全设置”选项卡上的“审核这些操作”区域中，选择“成功”和“失败”。单击“确定”。关闭安全策略工具。

此设置将立即生效。使用 secpol 将生成安全审核权限授予帐户,对于任何 Windows 操作系统，在“开始”菜单上单击“运行”。键入 secpol.msc，然后单击“确定”。在显示“用户访问控制”对话框时，单击“继续”。在“本地安全策略”工具中，依次展开“安全设置”、“本地策略”，然后单击“用户权限分配”。在结果窗格中，双击“生成安全审核”。在“本地安全设置”选项卡上，单击“添加用户或组”。在“选择用户、计算机或组”对话框中，键入用户帐户的名称，例如 domain1user1，然后单击“确定”，或单击“高级”并搜索帐户。单击“确定”。关闭安全策略工具。重新启动 SQL Server 后，此设置才会生效。

第四篇：IBM刀片服务器AMM日志收集（模版）

IBM刀片服务器AMM日志收集

【一级类型】 服务器

【二级类型】 刀片服务器

【工作类型】 故障处理

【原作者】 来源于网络

【关键词】

AMM日志

【摘要】

本文主要介绍IBM 刀片服务器AMM日志的收集方法

【内容】

操作步骤：

1、请先找一根网线和一台笔记本，将其直连到刀箱后面的Management Module1上的网络口：

2、管理模块的IP地址默认为：192.168.70.125，用户名：USERID 密码：PASSW0RD（0为数字零）

3、将笔记本的IP设成跟管理模块同一个网段，如：192.168.70.120...4、连接成功后打开IE浏览器，在地址栏输入：192.168.70.125，打开之后会提示输入法用户名密码：USERID,PASSW0RD(把字母O改成数字0)

5、输入用户名和密码后，会出现一个欢迎界面，请选择“no timeout“后点击“continue：

6、正常登录之后，点击AMM左边的service tools——AMM service data后等待右边的页面刷新：

7、刷新完成后点击右上角的“Save AMM service data”，会提示保存一个后缀为.tgz的压缩包，在保存完成后将其发给我，谢谢！

第五篇：作业日志检查情况

作业日志检查情况

检查时间：5月26日检查人：刘海峰

5月26日教导处在每个年级抽检了两个班教师的作业日志，5月28日教导处又将部分班级的作业比对教师作业日志进行落实。反馈如下：

作业日志书写完整、认真的教师有：

李遂霞郭黎明李丽品郑彩虹朱晓霞姜志刚赵尤利 存在问题及建议：

1、个别年级学科作业未做到精选，仍然有套题、整张的报纸、同步资料第几页至第几页等现象，分层无法落实(再有，下次公布)；

2、作业日志上没有教师先做，没有落实学生订正问题。反映出备课组作业商讨不充分，作业布置具有随意性。教师不先做，量上就得不到控制，质上就没有保证。布置学生完成的作业，教师必须先做，这样有利于把握作业的难度与完成时间，使作业布置科学合理。

3、“五一”假期作业没有全批全改；学生作业，原则上要求全批全改、及时批改；为个别优等生、学困生专设的作业，要坚持面批。坚决杜绝家长或学生代批作业现象的发生。不能全批全改的作业不要布置。只有全批全改，才能更全面的发现问题。全批全改就像一把尺子，无法做到，就应该反思量的问题。

4、作业日志中的“作业反馈”环节有些老师记得略显简单；作业反馈不是增加教师负担，而是有助于教师了解学生，是对作业数量、质量的反思，再提升，是对以后教学更好设计的积淀。作业反馈不一定记录很多，但一定要实用，可记录两方面情况：①学生完成情况(优秀名单、不合格名单及进一步落实情况等)，②教师反思(通过批改作业暴漏学生对知识的掌握情况等).5、作业日志记录不全；语、数、外应该坚持教学日每天都有记录，便于及时发现和解决教学中的问题，便于复习时知识点和短板生的查漏补缺。

学生作业就像农民种地一样天经地义，要想有好的收获，学生要辛勤劳作，教师要探索里面的规律加以正确引导。