IIS日志的统计分析方法和工具(2)必须是网络管理的技术性

nbsp;        2007-09-21 01:10:51

　　详细的IP地址              10.152.8.17 - 10.152.8.2

　　端    口               80

　　要求姿势               GET /seek/images/ip.gif - 200

　　返回结果               - 200 (用数字表示，如果页面不存在，则以404返回。

　　计算机浏览器类型              Mozilla/5.0

　　系统软件等信息              X11; U; Linux 2.4.2-2 i686; en-US; 0.7

　　附件：IISFTP日志

　　默认情况下，IISFTP日志文档的位置为%systemroot%system32logfilesMSFTPSVC1，对于大多数系统软件来说(如果系统软件存储文件目录在重新安装系统时被重新定义，则根据实际情况进行更改)是C:winntsystem32logfiles MSFTPSVC1，和IISWWW日志一样，每天默认设置一个日志。日志文件的名称文件格式如下：ex 年末二位数据 月份 例如，2002年8月10日的WWW日志文件是ex020810.log。日志文件的名称文件格式如下：ex 年末二位数据 月份 例如，2002年8月10日的WWW日志文件是ex020810.log。它也是一个文本文档，也可以添加任何在线编辑器打开，如文本文档程序流程。与IIS的WW日志相比，IIS的FTP日志文档要丰富得多。以下是日志文档的一些例子。

#Software: Microsoft Internet Information Services 6.0

　　#Version: 1.0

　　#Date: 2002-07-24 01:32:07

#Fields: time cip csmethod csuristem scstatus

　　03:15:20 210.12.195.3 [1]USER administator 331

(IP地址为210.12.195.2客户名为administator的消费者尝试登录)

　　03:16:12 210.12.195.2 [1]PASS - 530(登录失败)

　　03:19:16 210.12.195.2 [1]USER administrator 331

(IP地址为210.12.195.2客户名为administrator的消费者尝试登录)

　　03:19:24 210.12.195.2 [1]PASS - 230(成功登录)

　　03:19:49 210.12.195.2 [1]MKD brght 550(新目录不成功)

　　03:25:26 210.12.195.2 [1]QUIT - 550(删除FTP程序流程)

　　通过这段FTP日志文档内容，经验丰富的用户可以看到，2002年7月24日，IP详细地址210.12.195.2的远程客户：15逐渐尝试登录此网络服务器，并依次更改了两个登录名和动态密码，最终以administrator账户成功登录。此时，我们应该保持警惕，因为administrator账户很可能会泄露，为了安全起见，我们应该更改密码或重新命名该账户。此时，我们应该保持警惕，因为administrator账户很可能会泄露，为了安全起见，我们应该更改密码或重新命名该账户。

　　如何区分网络服务器之前是否有人使用过UNICODE系统的漏洞？您还可以在日志中看到以下类似记录：

　　当有人以前实施过copy时、del、echo、.当bat和指示侵犯个人行为时，以下类似记录将出现：

　　13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32////cmd".exe 401

　　13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32////cmd".exe 200

　　13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32////cmd".exe 401

　　软件简介：

　　若侵略者技术性较高，IIS日志文档将被删除以擦除痕迹。此时，您可以从W3SVC的警告信息中查看事件查看器，并经常找到一些案例线索。自然，对于浏览量大的Web服装来说，