Web服務器系統中的日誌

 

 

1、***者清除日誌的經常使用伎倆

　　 1 、 Web 服務器系統中的日誌

　　以 Windows Server 2003 平臺的 Web 服務器爲例，其日誌包括：安全日誌、系統日誌、應用程序日誌、 WWW 日誌、 FTP 日誌等。對於前面的三類日誌能夠經過 「 開始 → 運行 」 輸入 eventvwr.msc 打開事件查看器進行查看， WWW 日誌和 FTP 日誌以 log 文件的形式存放在硬盤中。具體來講這些日誌對應的目錄和文件爲：

　　 (1). 安全日誌文件 :C:\WINDOWS\system32\config\SecEvent.Evt

　　 (2). 系統日誌文件 :C:\WINDOWS\system32\config\SysEvent.Evt

　　 (3). 應用程序日誌文件 :C:\WINDOWS\system32\config\AppEvent.Evt

　　 (4).FTP 日誌默認位置 :C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　 (5).WWW 日誌默認位置 :C:\WINDOWS\system32\Logfiles\W3SVC1

　　 2 、非法清除日誌

　　上述這些日誌在服務器正常運行的時候是不能被刪除的， FTP 和 WWW 日誌的刪除能夠先把這 2 個服務中止掉，而後再刪除日誌文件，***者通常不會這麼作的。系統和應用程序的日誌是由守護服務 Event Log 支持的，而它是沒有辦法中止的，於是是不能直接刪除日誌文件的。***者在拿下 Web 服務器後，通常會採用工具進行日誌的清除，其使用的工具主要是 CL 和 CleanIISLog 。

　　 (1). 利用 CL 完全清除日誌

　　這個工具能夠完全清除 IIS 日誌、 FTP 日誌、計劃任務日誌、系統日誌、安全日誌等，使用的操做很是簡單。

　　在命令下輸入 「cl -logfiles 127.0.0.1」 就能夠清除 Web 服務器與 Web 和 FTP 和計劃任務相關的日誌。其原理就是先把 FTP 、 WWW 、 Task Scheduler 服務中止再刪除日誌，而後再啓動三個服務。 ( 圖 2)

相關消息：

該工具還能夠選擇性地清除相應的日誌，好比輸入 「cl -eventlog All」 就會清除 Web 服務器中與系統相關的日誌。另外，此工具支持遠程清理，這是***者常常採用的方法。首先他們經過命令 「net use \\ip\ipc$ 密碼 /user: 用戶名 」 在本地和服務器創建了管理員權限的 IPC 管理鏈接，而後用 「CL -LogFile IP」 命令遠程清理服務日誌。 ( 圖 3)

　　 (2). 利用 CleanIISLog 選擇性地清理 IIS 日誌

　　好比***者經過 Web 注入方式拿下服務器，這樣他的***痕跡 (IP 地址 ) 都留在了 IIS 日誌裏。他們利用該工具只把其在 IIS 日誌中的 IP 地址進行清除，這樣就不會讓對方管理員起疑心。

　　在命令中執行 「CleanIISLog . IP」 就能夠清除 IIS 日誌中有關該 IP 的鏈接記錄同時保留其它 IP 記錄。若是管理作了防範，好比更改了 IIS 日誌的路徑，***者在肯定了日誌的路徑後，也能夠經過該工具進行清除，其操做是，在命令行下執行 「CleanIISLog IIS 日誌路徑 IP 地址 」 來清除指定 IIS 路徑的 IP 記錄。 ( 圖 4)

相關消息：

2、打造日誌服務器保護日誌

　　經過上面的演示能夠看到，若是將服務器的日誌保存在本地是很是不安全的。並且，若是企業中的服務器很是多的話，查看日誌會很是麻煩。基於以上考慮，打造專門的日誌服務器，即有利於服務器日誌的備份又有利用於集中管理。

　　筆者的作法是，搭建一個 FTP 服務器用來日誌的集中和備份，能夠在服務器中經過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部份內容比較簡單，筆者就不演示了。其實不只能夠將服務器日誌備份到專門的日誌服務器上，日誌服務器還能夠實現網絡設備的日誌備份。

　　以路由器爲例，首先在其上進行設置，指定記錄日誌的服務器，最後經過 FTP 協議將日誌數據傳輸到 FTP 服務器上。搭建 FTP 服務器能夠利用 IIS 的 FTP 或者 Serv-u ，可是筆者以爲 IIS 的 FTP 在權限分配上不夠方便，而 Serv-u 有漏洞太多，所以推薦 TYPSoft FTP 。

　　 1 、架設日誌服務器

　　 TYPSoft FTP 是綠色軟件，下載解壓後雙擊 ftpserv.exe 文件，啓動 typsoft fip 主程序。啓動後，點擊主界面菜單中的 「 設定 → 用戶 」 ，創建新帳戶 log 。接着在用戶界面中設置 log 帳號所對應的用戶密碼和日誌保存的目錄，最後點擊 「 保存 」 按鈕使設置生效，這樣日誌服務器就架好了。 ( 圖 5)

　　 2 、日誌服務器的指定

　　當搭建好日誌服務器後，只須要到相應的網絡設置中經過 SYSLOG 或 LOG 命令指定要保存日誌的服務器地址便可，同時加上設置好的帳戶名和密碼便可完成傳輸配置工做。下面筆者就以 Cisco6509 設備上配置及指定日誌服務器爲例。

　　正常登陸到設備上而後在全局配置模式下輸入 logging 192.168.1.10 ，它的意思是在路由器上指定日誌服務器地址爲 192.168.1.10 。接着輸入 logging trap ，它的意思是設置日誌服務器接收內容，並啓動日誌記錄。 trap 後面能夠接參數 0 到 7 ，不一樣級別對應不一樣的狀況，能夠根據實際狀況進行選擇。若是直接使用 logging trap 進行記錄的話是記錄所有日誌。配置完畢後路由交換設備能夠發送日誌信息，這樣在第一時間就能發現問題並解決。日誌服務器的 IP 地址，只要是能在路由交換設備上 ping 通日誌服務器的 IP 便可，不必定要侷限在同一網段內。由於 FTP 屬於 TCP/IP 協議，它是能夠跨越網段的。 ( 圖 6)

　　總結：本文從***者的角度解析對 Web 日誌的刪除和修改，目的是讓你們重視服務器日誌的保護。另外，搭建專門的日誌服務器不只能夠實現對日誌的備份，同時也更利用對日誌的集中管理。進一步挖掘日誌的服務器的潛能，實現對網絡設備相關日誌的保存。

 

1、***者清除日誌的經常使用伎倆

　　 1 、 Web 服務器系統中的日誌

　　以 Windows Server 2003 平臺的 Web 服務器爲例，其日誌包括：安全日誌、系統日誌、應用程序日誌、 WWW 日誌、 FTP 日誌等。對於前面的三類日誌能夠經過 「 開始 → 運行 」 輸入 eventvwr.msc 打開事件查看器進行查看， WWW 日誌和 FTP 日誌以 log 文件的形式存放在硬盤中。具體來講這些日誌對應的目錄和文件爲：

　　 (1). 安全日誌文件 :C:\WINDOWS\system32\config\SecEvent.Evt

　　 (2). 系統日誌文件 :C:\WINDOWS\system32\config\SysEvent.Evt

　　 (3). 應用程序日誌文件 :C:\WINDOWS\system32\config\AppEvent.Evt

　　 (4).FTP 日誌默認位置 :C:\WINDOWS\system32\Logfiles\MSFTPSVC1

　　 (5).WWW 日誌默認位置 :C:\WINDOWS\system32\Logfiles\W3SVC1

　　 2 、非法清除日誌

　　上述這些日誌在服務器正常運行的時候是不能被刪除的， FTP 和 WWW 日誌的刪除能夠先把這 2 個服務中止掉，而後再刪除日誌文件，***者通常不會這麼作的。系統和應用程序的日誌是由守護服務 Event Log 支持的，而它是沒有辦法中止的，於是是不能直接刪除日誌文件的。***者在拿下 Web 服務器後，通常會採用工具進行日誌的清除，其使用的工具主要是 CL 和 CleanIISLog 。

　　 (1). 利用 CL 完全清除日誌

　　這個工具能夠完全清除 IIS 日誌、 FTP 日誌、計劃任務日誌、系統日誌、安全日誌等，使用的操做很是簡單。

　　在命令下輸入 「cl -logfiles 127.0.0.1」 就能夠清除 Web 服務器與 Web 和 FTP 和計劃任務相關的日誌。其原理就是先把 FTP 、 WWW 、 Task Scheduler 服務中止再刪除日誌，而後再啓動三個服務。 ( 圖 2)

相關消息：

該工具還能夠選擇性地清除相應的日誌，好比輸入 「cl -eventlog All」 就會清除 Web 服務器中與系統相關的日誌。另外，此工具支持遠程清理，這是***者常常採用的方法。首先他們經過命令 「net use \\ip\ipc$ 密碼 /user: 用戶名 」 在本地和服務器創建了管理員權限的 IPC 管理鏈接，而後用 「CL -LogFile IP」 命令遠程清理服務日誌。 ( 圖 3)

　　 (2). 利用 CleanIISLog 選擇性地清理 IIS 日誌

　　好比***者經過 Web 注入方式拿下服務器，這樣他的***痕跡 (IP 地址 ) 都留在了 IIS 日誌裏。他們利用該工具只把其在 IIS 日誌中的 IP 地址進行清除，這樣就不會讓對方管理員起疑心。

　　在命令中執行 「CleanIISLog . IP」 就能夠清除 IIS 日誌中有關該 IP 的鏈接記錄同時保留其它 IP 記錄。若是管理作了防範，好比更改了 IIS 日誌的路徑，***者在肯定了日誌的路徑後，也能夠經過該工具進行清除，其操做是，在命令行下執行 「CleanIISLog IIS 日誌路徑 IP 地址 」 來清除指定 IIS 路徑的 IP 記錄。 ( 圖 4)

相關消息：

2、打造日誌服務器保護日誌

　　經過上面的演示能夠看到，若是將服務器的日誌保存在本地是很是不安全的。並且，若是企業中的服務器很是多的話，查看日誌會很是麻煩。基於以上考慮，打造專門的日誌服務器，即有利於服務器日誌的備份又有利用於集中管理。

　　筆者的作法是，搭建一個 FTP 服務器用來日誌的集中和備份，能夠在服務器中經過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部份內容比較簡單，筆者就不演示了。其實不只能夠將服務器日誌備份到專門的日誌服務器上，日誌服務器還能夠實現網絡設備的日誌備份。

　　以路由器爲例，首先在其上進行設置，指定記錄日誌的服務器，最後經過 FTP 協議將日誌數據傳輸到 FTP 服務器上。搭建 FTP 服務器能夠利用 IIS 的 FTP 或者 Serv-u ，可是筆者以爲 IIS 的 FTP 在權限分配上不夠方便，而 Serv-u 有漏洞太多，所以推薦 TYPSoft FTP 。

　　 1 、架設日誌服務器

　　 TYPSoft FTP 是綠色軟件，下載解壓後雙擊 ftpserv.exe 文件，啓動 typsoft fip 主程序。啓動後，點擊主界面菜單中的 「 設定 → 用戶 」 ，創建新帳戶 log 。接着在用戶界面中設置 log 帳號所對應的用戶密碼和日誌保存的目錄，最後點擊 「 保存 」 按鈕使設置生效，這樣日誌服務器就架好了。 ( 圖 5)

　　 2 、日誌服務器的指定

　　當搭建好日誌服務器後，只須要到相應的網絡設置中經過 SYSLOG 或 LOG 命令指定要保存日誌的服務器地址便可，同時加上設置好的帳戶名和密碼便可完成傳輸配置工做。下面筆者就以 Cisco6509 設備上配置及指定日誌服務器爲例。

　　正常登陸到設備上而後在全局配置模式下輸入 logging 192.168.1.10 ，它的意思是在路由器上指定日誌服務器地址爲 192.168.1.10 。接着輸入 logging trap ，它的意思是設置日誌服務器接收內容，並啓動日誌記錄。 trap 後面能夠接參數 0 到 7 ，不一樣級別對應不一樣的狀況，能夠根據實際狀況進行選擇。若是直接使用 logging trap 進行記錄的話是記錄所有日誌。配置完畢後路由交換設備能夠發送日誌信息，這樣在第一時間就能發現問題並解決。日誌服務器的 IP 地址，只要是能在路由交換設備上 ping 通日誌服務器的 IP 便可，不必定要侷限在同一網段內。由於 FTP 屬於 TCP/IP 協議，它是能夠跨越網段的。 ( 圖 6)

　　總結：本文從***者的角度解析對 Web 日誌的刪除和修改，目的是讓你們重視服務器日誌的保護。另外，搭建專門的日誌服務器不只能夠實現對日誌的備份，同時也更利用對日誌的集中管理。進一步挖掘日誌的服務器的潛能，實現對網絡設備相關日誌的保存。