作者 主題: 「問題」菜鳥請問windows server的log該如何分析呢?謝謝  (閱讀 6359 次)

0 會員 與 1 訪客 正在閱讀本文。

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
各位先進:
小弟剛開始學管理server,有一台server2k3,作iis用,已經重灌三次了。
小弟要請問如果從log上查詢異常呢?
iis的設定中,log可以有w3擴充記錄檔案格式、microsoft iis記錄檔案格式、ncsa通用記錄檔案格式、odbc記錄檔案格式。
目前小弟系統是w3擴充記錄檔案格式,這會有差別嗎?
請先進們指教。謝謝

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
有對外服務嗎?為何要重灌3次?

建議可先看事件檢視器,看不到什麼問題再看IIS Log,畢竟IIS Log不容易看.

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
首先感謝eose學長回應。
重灌的原因都是它被入侵了。
它是iis server。放網頁的。
第二次灌時,在系統安裝ok後,就ghost來了。
沒想到網頁設定好,又被改掉了。
所以開始要學怎麼看log。
謝謝

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
個人建議:
1. 安裝時不要放在 Internet , 甚至也不要放 LAN 區, 另外裝一個完全沒有其他電腦的環境.
2. 裝 Windows 時, 先把該上的 Service Pack 全部裝好.
(備份)
3. 開始關掉所有不必要的服務.
(備份)
4. 設定 IIS , 放網頁
(備份)
5. 把主機移到正式環境
6. 這時候再觀察是否被入侵.

由於被入侵的管道很多, 有時候也不是主機被攻, 而是 subnet 其他電腦中毒, 產生假的 gateway 等攻擊.
所以只看 log , 個人覺得效益較低, 建議先保持主機與環境乾淨, 遇到入侵盡快復原, 等比較有經驗再看 log .
(或者先花點時間學看 log , 先不讓主機上線, 畢竟主機對外有代表形象, 常被入侵的形象跟還沒上線的形象不同)
« 上次編輯: 2010-08-28 20:23 由 slime »
冷笑話: 我的 IP 是 127.0.0.1

zterry26

  • 鑽研的研究生
  • *****
  • 文章數: 596
    • 檢視個人資料
非常感謝slime學長的意見。
小弟剛學著處理server問題,所以會提些菜問題。請見諒。
主要的問題應,這台iis server一直以來,重灌三次的原因,
都是開啟首頁忽然就會需要輸入帳號密碼。
所以小弟才會學看log,找看看到底是什麼問題。
謝謝slime學長。

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
系統沒做好定期的安全性更新,網頁程式沒檢查是不是有漏洞,前端沒有ids , ips防護,重灌在多次,分析在多log,都只是浪費時間

owen

  • 懷疑的國中生
  • **
  • 文章數: 57
  • 性別: 男
    • 檢視個人資料
Dear,

可以試試 Indihiang 這套 web log analyzing tool
看 Web Log是比較繁瑣的,需要經驗累積,前面學長們的建議都很好,防護一定要先作好~
再請參考囉。

此例,這台是IIS Log,明顯有自動化程式在掃 php
[attachment=1]

也可以列出單一 IP 存取了那些頁面(包括存在或是不存在的)
[attachment=2]
« 上次編輯: 2010-07-05 14:38 由 owen »