返回
网管必学技术之iis日志分析方法及工具

网管必学技术之iis日志分析方法及工具

ID:23718702

大小:54.50 KB

页数:5页

时间:2018-11-10

网管必学技术之iis日志分析方法及工具_第1页
网管必学技术之iis日志分析方法及工具_第2页
网管必学技术之iis日志分析方法及工具_第3页
网管必学技术之iis日志分析方法及工具_第4页
网管必学技术之iis日志分析方法及工具_第5页
资源描述:

《网管必学技术之iis日志分析方法及工具》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网管必学技术之IIS日志分析方法及工具~教育资源库  日志的重要性已经越来越受到程序员的重视,IIS的日志更是不言而喻。  IIS日志建议使用为完全控制的权限。  如图2所示。  如果发现IIS日志再也不记录了,解决办法:  看看你有没有启用日志记录:你的网站-->属性-->网站-->启用日志是否勾选。  日志文件的名称格式是:ex+年份的末两位数字+月份+日期。  (如2002年8月10日的日志文件是ex020810.log)  IIS的日志文件都是文本文件,可以使用任何编辑器或相关软件打开,例如记事本程序,Aozilla/5.0+(X11;+U;+L

2、inux+2.4.2-2+i686;+en-US;+0.7)  上面各行分别清楚地记下了远程客户端的:  连接时间              2007-09-21 01:10:51  IP地址             10.152.8.17 - 10.152.8.2      端    口              80  请求动作             GET /seek/images/ip.gif - 200  返回结果             - 200 (用数字表示,如页面不存在则以404返回)   浏览器类型             Mozilla/5.0+ 

3、 系统等相关信息             X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7  附:IIS的FTP日志  IIS的FTP日志文件默认位置为%systemroot%system32logfilesMSFTPSVC1,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:32logfiles MSFTPSVC1,和IIS的日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器

4、打开,例如记事本程序。和IIS的日志相比,IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。  #SoftationServices6.0  #Version: 1.0  #Date: 2002-07-24 01:32:07  #Fields: time cip csmethod csuristem scstatus  03:15:20 210.12.195.3 [1]USER administator 331   (IP地址为210.12.195.2用户名为administator12下一页友情提醒:,特别!的用户试图登录)  03:16:12 210.12

5、.195.2 [1]PASS - 530 (登录失败)  03:19:16 210.12.195.2 [1]USER administrator 331   (IP地址为210.12.195.2用户名为administrator的用户试图登录)  03:19:24 210.12.195.2 [1]PASS - 230 (登录成功)  03:19:49 210.12.195.2 [1]MKD brght 550 (新建目录失败)  03:25:26 210.12.195.2 [1]QUIT - 550 (退出FTP程序)  有经验的用户可以通过这段FTP日志文件的内容看出,

6、来自IP地址210.12.195.2的远程客户从2002年7月24日3:15开始试图登录此服务器,先后换了2次用户名和口令才成功,最终以administrator的账户成功登录。这时候就应该提高警惕,因为administrator账户极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。  如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢?可以在日志里看到类似如下的记录:   如果有人曾经执行过copy、del、echo、.bat等具有入侵行为的命令时,会有以下类似的记录:  13:46:07 127.0.0.1 GET /scripts/..\

7、../32/cmd.exe 401   13:46:07 127.0.0.1 GET /scripts/..\../32/cmd.exe 200   13:47:37 127.0.0.1 GET /scripts/..\../32/cmd.exe 401   相关软件介绍:  如果入侵者技术比较高明,会删除IIS日志文件以抹去痕迹,这时可以到事件查看器看来自W3SVC的警告信息,往往能找到一些线索。当然,对于访问量特别大的Web服务器,仅靠人工分析几乎是不可能的--数据太多了!可以借助第三方日志分析工具,如Faststs An

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。