日誌的在iis中是很重要的,但是很多人卻忽略了,在這裡說說,日誌格式建議使用w3c擴充日誌檔案格式,這也是iis 5.0預設的格式,可以指定每天記錄客戶ip位址、使用者名稱、伺服器端口、方法、uri資源、uri查詢、協議狀態、使用者**,每天要審查日誌。如圖1所示。
iis 5.0的www日誌檔案預設位置為%systemroot%/system32/logfiles/w3svc1/,對於絕大多數系統而言(如果安裝系統時定義了系統存放目錄則根據實際情況修改)則是c:/winnt/system32/logfiles/w3svcl/,預設每天乙個日誌。建議不要使用預設的目錄,更換乙個記錄日誌的路徑,同時設定日誌訪問許可權,只允許管理員和system為完全控制的許可權,如圖2所示。
日誌檔案的名稱格式是:ex+年份的末兩位數字+月份+日期,如2023年8月10日的www日誌檔案是ex020810.log。iis的日誌檔案都是文字檔案,可以使用任何編輯器開啟,例如記事本程式。下面列舉說明日誌檔案的部分內容。每個日誌檔案都有如下的頭4行:
上面各行分別清楚地記下了遠端客戶端的ip位址、連線時間、埠、請求動作、返回結果(用數字表示,如頁面不存在則以404返回)、所使用的瀏覽器型別等資訊。
iis的ftp日誌檔案預設位置為%systemroot%/system32/logfiles/msftpsvc1/,對於絕大多數系統而言(如果安裝系統時定義了系統存放目錄則根據實際情況修改)則是c:/winnt/system32/logfiles/ msftpsvc1/,和iis的www日誌一樣,也是預設每天乙個日誌。日誌檔案的名稱格式是:ex+年份的末兩位數字+月份+日期,如2023年8月10日的www日誌檔案是ex020810.log。它也是文字檔案,同樣可以使用任何編輯器開啟,例如記事本程式。和iis的www日誌相比,iis的ftp日誌檔案要豐富得多。下面列舉日誌檔案的部分內容。
有經驗的使用者可以通過這段ftp日誌檔案的內容看出,來自ip位址210.12.195.2的遠端客戶從2023年7月24日3:15開始試圖登入此伺服器,先後換了4次使用者名稱和口令才成功,最終以administrator的賬戶成功登入。這時候就應該提高警惕,因為administrator賬戶極有可能洩密了,為了安全考慮,應該給此賬戶更換密碼或者重新命名此賬戶。
如何辨別伺服器是否有人曾經利用過unicode漏洞入侵過呢?可以在日誌裡看到類似如下的記錄:
如果入侵者技術比較高明,會刪除iis日誌檔案以抹去痕跡,這時可以到事件檢視器看來自w3svc的警告資訊,往往能找到一些線索。
如何檢視和分析IIS日誌
日誌的在iis中是很重要的,但是很多人卻忽略了,在這裡說說,日誌格式建議使用w3c擴充日誌檔案格式,這也是iis 5.0預設的格式,可以指定每天記錄客戶ip位址 使用者名稱 伺服器端口 方法 uri資源 uri查詢 協議狀態 使用者 每天要審查日誌。如圖1所示。iis 5.0的www日誌檔案預設位置...
如何檢視和分析IIS日誌
日誌的在iis中是很重要的,但是很多人卻忽略了,在這裡說說,日誌格式建議使用w3c擴充日誌檔案格式,這也是iis 5.0預設的格式,可以指定每天記錄客戶ip位址 使用者名稱 伺服器端口 方法 uri資源 uri查詢 協議狀態 使用者 每天要審查日誌。如圖1所示。iis 5.0的www日誌檔案預設位置...
如何檢視IIS的日誌
如果 被攻擊,會很麻煩,可以採取一些什麼手段來尋找問題原因呢?cache control private content length 25816 content type text html charset utf 8 date wed,26 jun 2013 01 28 06 gmt serve...