Web日志记录:有效掌握服务器的运行状况
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web日志记录:有效掌握服务器的运行状况
1.
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。
通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理。
另外,Web日志也是判断服务器安全的一个重要依据,通过其可以分析判断服务器是否被入侵,并通过其可以对攻击者进行反向跟踪等。
因此,对于Web日志攻击者往往以除之而后快。
一、攻击者清除日志的常用伎俩
1、Web服务器系统中的日志
以Windows Server 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。
对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。
具体来说这些日志对应的目录和文件为:
(1).安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt
(2).系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt
(3).应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt
(4).FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
(5).WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1
2、非法清除日志
上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,
攻击者一般不会这么做的。
系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。
攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。
(1).利用CL彻底清除日志
这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。
在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。
其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志,然后再启动三个服务。
(图2) 1.
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。
通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理。
另外,Web日志也是判断服务器安全的一个重要依据,通过其可以分析判断服务器是否被入侵,并通过其可以对攻击者进行反向跟踪等。
因此,对于Web日志攻击者往往以除之而后快。
一、攻击者清除日志的常用伎俩
1、Web服务器系统中的日志
以Windows Server 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。
对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。
具体来说这些日志对应的目录和文件为:
(1).安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt
(2).系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt
(3).应用程序日志文
件:C:\WINDOWS\system32\config\AppEvent.Evt
(4).FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
(5).WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1
2、非法清除日志
上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的。
系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。
攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。
(1).利用CL彻底清除日志
这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。
在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。
其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志,然后再启动三个服务。
(图2)。