| 為了抵擋Internet網絡病毒的瘋狂襲擊,許多網絡管理員想出了 各種辦法來加強網絡安全控制;不過其中的很多辦法不是需要外力工具的幫忙,就是需要網絡管理員熟悉服務器系統的各種安全設置,這對接觸網絡管理工作不久的 “菜鳥”級管理員來說,不但顯得有點麻煩,而且也有點高深。事實上,任何一臺服務器系統在默認狀態下會自動啟用日志功能,來將訪問服務器系統的任何行為捕 捉、記錄下來,網絡管理員只要巧妙地學會使用日志,同樣也能夠實現加強網絡安全控制的目的! 一、實地分析,尋找安全隱患 某單位的IIS服務器在深夜時分遭受到黑客的非法攻擊,當天值班的網絡管理員小王發現IIS服務器不能正常工作后,立即電話聯系了經驗豐富的 前輩級網絡安全工程師老張。早上上班后,老張火速趕到IIS服務器現場,沒有多長時間,老張就將攻擊IIS服務器的非法攻擊著找了出來,并且一并發現了 IIS服務器系統中的其他安全隱患。事實上,老張之所以能這么快尋找到IIS服務器系統中的安全隱患,主要就是因為他巧妙地利用了服務器系統自帶的日志功 能。 一般來說,非法攻擊者企圖攻擊目標IIS服務器系統時,往往會花費一番心思來收集目標IIS服務器系統的各種信息,通過一些專業級別的掃描工 具,來掃描目標IIS服務器系統此時此刻是否存在安全漏洞;而目標IIS服務器系統的日志功能在默認狀態下,能夠自動記憶下各種訪問過本地系統的行為,并 將這些記憶下來的內容存儲到指定的日志文件中,這個日志文件中包含的內容往往有被掃描的服務器端口號碼、訪問用戶名、客戶端的IP地址等;仔細分析這些內 容,我們往往就能大概判斷出本地IIS服務器系統有沒有安全隱患存在。 在查看本地系統的日志文件時,我們可以先依次單擊“開始”/“設置”/“控制面板”命令,然后用鼠標雙擊系統控制面板窗口中的“管理工具”圖標,在彈出的管理工具窗口中再雙擊“事件查看器”選項,進入本地系統的事件查看器窗口(如下圖所示)。  在上圖界面的左側子窗格中,我們會看到日志文件主要包含安全日志、系統日志、應用程序日志這幾種類型。用鼠標點選某一種類型的日志文件,在對 應該文件的右側子窗格中,我們就能看到所有日志記錄的列表了,用鼠標雙擊某一個日志記錄,在其后彈出的屬性設置對話框中我們就能看到具體的記錄內容了,根 據記錄內容我們就能直觀地了解到服務器系統在什么時間發生了什么事情。 對IIS服務器系統的各種日志文件進行分析,我們就能看到各種審核事件的記錄,這些內容記錄了所有訪問者在IIS服務器系統中的各種活動,通過對各種活動行為的分析,我們就能很輕易地找到本地IIS服務器系統究竟存在哪些安全隱患了。 不過,一些黑客在攻擊了目標IIS服務器系統之后,往往會千方百計地想辦法清空IIS服務器系統中各種類型的日志文件,以便將它們攻擊IIS 服務器系統時遺留下來的痕跡全部清除干凈,那樣一來網絡管理員就無法從系統的各個日志文件中,快速尋找到IIS服務器系統的各種安全隱患了。所以,有效地 保護好IIS服務器系統的日志文件,對追查系統的安全隱患以及尋找非法攻擊者具有很大的幫助。 如果遇到服務器系統日志文件被刪除的情況時,我們可以使用專業的數據恢復工具來嘗試還原數據信息和日志文件;因為刪除日志文件往往是非法攻擊 者在IIS服務器系統中進行的最后一項操作,一般來說他們在刪除完日志文件后不會在服務器系統中進行其他的操作了,所以在遇到日志文件被非法刪除的現象 時,我們千萬不能向服務器系統執行任何添加刪除操作,以便確保專業工具能夠成功地將已經刪除了的日志文件恢復成功。 另外,要是IIS服務器系統工作的時間比較長,目標網站站點的訪問流量比較大時,那么服務器自動生成的日志文件可能就比較大,此時再按照上面的方法來分析 系統的各種日志文件時,就顯得十分麻煩,而且也不容易分析準確。為此,在這種情況下,我們需要借助專業的日志分析工具來幫忙,當然也可以使用 Windows系統自帶的“find”功能命令來幫忙。 當然有的時候,單純依靠IIS服務器系統日志文件,我們并不能明確找到某些安全隱患,這個時候還可以嘗試借用其他軟件的一些日志記錄,來進行進一步安全篩 查操作。例如,在IIS服務器系統的日志文件中一旦發現有可疑的事件或對象時,我們應該將它們發生的具體時間記錄下來,并且在所有日志種類中篩選出指定時 間內記錄下來的所有記錄,然后綜合分析一下防火墻程序的日志文件或Serv-U程序的日志文件,如此一來我們就能輕易找到具體的安全隱患了。 二、遠程追蹤,揪出非法黑客 筆者下午上班后,象往常一樣檢查了一下單位文件服務器的運行狀態,在檢查過程中筆者發現文件服務器中的一些重要數據被非法黑客竊取了;為了防止非法黑客繼續攻擊單位的文件服務器,筆者立即聯系了遠在外地學習的網絡管理員小王,請求他想辦法解決這一安全麻煩。 網絡管理員小王建議先仔細查看一下文件服務器的日志,無奈筆者并不能從日志文件中看出什么名堂;經過一番協商,網絡管理員小王準備嘗試使用遠 程管理的方法來查看文件服務器的日志文件,經過他的遠程追蹤,終于將非法黑客揪了出來。現在,本文就將網絡管理員小王遠程查看日志文件的具體過程還原出 來,供各位朋友們參考! 要想通過遠程管理方法來遠程查看服務器系統中的日志文件,我們需要先在服務器系統中安裝啟用好遠程管理功能組件,該功能組件在默認狀態下并沒有被安裝。在安裝遠程管理功能組件時,我們可以按照如下步驟來操作: 首先以系統管理員權限登錄進入服務器系統,在該系統桌面中依次單擊“開始”/“設置”/“控制面板”命令,在彈出的系統控制面板窗口中,雙擊 “添加或刪除程序”圖標,在其后出現的窗口中單擊“添加/刪除Windows組件”標簽,打開Windows組件向導對話框(如下圖所示);  其次選中該向導對話框中的“應用程序服務器”選項,同時單擊該選項下面的“詳細信息”按鈕,在其后彈出的設置對話框中,看看 “Internet信息服務(IIS)”項目有沒有被選中,如果發現該選項還沒有被選中時,我們應該及時將它重新選中(如下圖所示),然后再單擊“詳細信 息”按鈕,同時將其后界面中的“萬維網服務選項”選中;  緊接著再單擊“萬維網服務選項”項目下面的“詳細信息”按鈕,打開萬維網服務列表窗口,選中其中的“遠程管理(HTML)”功能組件選中,再單擊“確定”按鈕,之后根據屏幕提示完成剩余的操作就能安裝好服務器系統的遠程管理功能組件了。 下面我們就能通過遠程管理功能組件來遠程查看服務器系統的日志文件了。在進行遠程查看服務器系統的日志文件時,我們可以先在異地計算機中啟動 運行IE瀏覽器程序,在對應窗口的地址欄中輸入https://xxx.xxx.xxx.xxx:8098(其中xxx.xxx.xxx.xxx為目標服 務器系統所在的主機IP地址),而“8098”為服務器系統默認開啟的遠程管理端口號碼; 單擊回車鍵后,屏幕上將會出現遠程登錄對話框,在其中正確輸入目標服務器系統的登錄賬號與密碼,再單擊對應窗口的“確定”按鈕,我們就能進入 目標服務器系統的Web訪問接口管理頁面;單擊該管理頁面中的“維護”超級鏈接,進入到系統維護頁面,繼續單擊該頁面中的“日志”超級鏈接,打開目標服務 器系統的日志管理頁面,在該頁面中我們就能遠程查看各種日志信息了,同時還能遠程刪除或遠程下載日志文件。 在遠程查看具體的日志內容時,也是非常的簡單,我們只要在日志管理頁面中單擊“Web管理日志”超級鏈接,在對應的超級鏈接頁面中選中待查看的目標日志文件,然后單擊“查看日志”按鈕,具體的日志內容就能顯示在IE瀏覽器窗口中了。 三、巧用日志排查故障 下面,本文就從實戰角度出發,來為大家詳細推薦幾則巧妙使用Windows系統內置日志文件,來高效、快捷地尋找故障原因,最終實現有效改善網絡管理效率的目的。 1、定位網絡訪問不通原因 在計算機數量相對較多的局域網網絡中,網絡管理員一般會在局域網中架設DHCP服務器來為所有計算機自動分配合適的IP地址,以便提高網絡管 理效率。一旦普通計算機無法從局域網的DHCP服務器那里申請得到合適的IP地址時,Windows系統將會自動為其分配一個保留地址為目標計算機,并且 打開系統的日志文件時,我們還會看到其中包含一個ID為“1007”的事件記錄。 依照上述分析,我們日后完全可以通過查看日志文件的方法,來定位網絡訪問不通的原因。例如,要是日后看到目標計算機系統不能正常訪問網絡時, 我們可以嘗試打開對應計算機系統的事件查看器窗口,從中找到系統日志文件,同時認真篩查其中是否有ID為“1007”的事件記錄,如果找到了這個事件記 錄,那么我們就能認定網絡訪問不通的原因是目標計算機系統沒有正確地從局域網DHCP服務器那里申請到合法的IP地址,這個時候我們只要將故障排查范圍鎖 定在DHCP服務器上就可以了;如果發現局域網DHCP服務器能夠正常工作,我們只要仔細檢查目標計算機與局域網DHCP服務器之間的網絡連接是否通暢, 如此一來我們就能快速有效地解決網絡訪問不通的故障現象了。 2、定位無法登錄網絡原因 我們知道,MSNMessenger、QQ等通信類應用程序,在工作過程中也會自動產生自己的日志文件,來將目標應用程序登錄網絡的情況記錄保存下來,我們同樣也可以利用它們的日志文件來定位登錄網絡失敗的故障原因。 比方說,一旦大家在登錄QQ時發生了無法登錄網絡的故障提示時,大家不妨在故障提示界面中單擊“詳細信息”按鈕,之后大家就能從詳細信息提示 中看到QQ應用程序與多個TCP、UDP服務器嘗試建立了網絡連接,但是每個網絡連接都提示為域名解析失敗,最終造成了登錄網絡失敗故障;這個時候,大家 可以單擊提示界面中的“疑難解決”按鈕,那樣一來QQ應用程序就能對當前網絡連接進行自動診斷,診斷操作結束后,大家就可以初步判斷出TCP、UDP服務 器的IP地址是否能夠被Ping通,本地網絡的網關地址測試是否能被Ping通;要是發現本地網關地址無法通過檢測時,那大家基本就能斷定無法登錄網絡的 原因多半是本地計算機與網關設備之間的網絡連接出現了故障,此時大家只要仔細檢查本地計算機的物理線路就能快速解決無法登錄網絡的故障現象了。 3、定位應用程序出錯原因 要是自己的計算機系統頻繁發生應用程序出錯故障現象時,該怎么辦呢?其實,我們可以自己動手,來查看系統的日志文件,從中找到應用程序出錯的故障原因,下面就是具體的操作步驟: 首先在自己的計算機系統桌面中,依次單擊“開始”/“設置”/“控制面板”命令,在彈出的系統控制面板窗口中,用鼠標雙擊“管理工具”圖標,在彈出的管理工具列表窗口中,雙擊事件查看器圖標,進入對應系統的事件查看器窗口; 其次在事件查看器窗口的左側顯示區域,點選“應用程序”選項,在對應該選項的右側顯示區域,我們就能清楚地看到應用程序運行方面的事件記錄; 一旦某個應用程序發生崩潰現象時,我們就能從對應的應用程序日志中尋找到對應的記錄內容了,透過記錄內容我們就能快速尋找到應用程序出錯的原因了。 |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
