| 為了抵擋Internet網(wǎng)絡(luò)病毒的瘋狂襲擊,許多網(wǎng)絡(luò)管理員想出了 各種辦法來加強(qiáng)網(wǎng)絡(luò)安全控制;不過其中的很多辦法不是需要外力工具的幫忙,就是需要網(wǎng)絡(luò)管理員熟悉服務(wù)器系統(tǒng)的各種安全設(shè)置,這對(duì)接觸網(wǎng)絡(luò)管理工作不久的 “菜鳥”級(jí)管理員來說,不但顯得有點(diǎn)麻煩,而且也有點(diǎn)高深。事實(shí)上,任何一臺(tái)服務(wù)器系統(tǒng)在默認(rèn)狀態(tài)下會(huì)自動(dòng)啟用日志功能,來將訪問服務(wù)器系統(tǒng)的任何行為捕 捉、記錄下來,網(wǎng)絡(luò)管理員只要巧妙地學(xué)會(huì)使用日志,同樣也能夠?qū)崿F(xiàn)加強(qiáng)網(wǎng)絡(luò)安全控制的目的! 一、實(shí)地分析,尋找安全隱患 某單位的IIS服務(wù)器在深夜時(shí)分遭受到黑客的非法攻擊,當(dāng)天值班的網(wǎng)絡(luò)管理員小王發(fā)現(xiàn)IIS服務(wù)器不能正常工作后,立即電話聯(lián)系了經(jīng)驗(yàn)豐富的 前輩級(jí)網(wǎng)絡(luò)安全工程師老張。早上上班后,老張火速趕到IIS服務(wù)器現(xiàn)場(chǎng),沒有多長(zhǎng)時(shí)間,老張就將攻擊IIS服務(wù)器的非法攻擊著找了出來,并且一并發(fā)現(xiàn)了 IIS服務(wù)器系統(tǒng)中的其他安全隱患。事實(shí)上,老張之所以能這么快尋找到IIS服務(wù)器系統(tǒng)中的安全隱患,主要就是因?yàn)樗擅畹乩昧朔⻊?wù)器系統(tǒng)自帶的日志功 能。 一般來說,非法攻擊者企圖攻擊目標(biāo)IIS服務(wù)器系統(tǒng)時(shí),往往會(huì)花費(fèi)一番心思來收集目標(biāo)IIS服務(wù)器系統(tǒng)的各種信息,通過一些專業(yè)級(jí)別的掃描工 具,來掃描目標(biāo)IIS服務(wù)器系統(tǒng)此時(shí)此刻是否存在安全漏洞;而目標(biāo)IIS服務(wù)器系統(tǒng)的日志功能在默認(rèn)狀態(tài)下,能夠自動(dòng)記憶下各種訪問過本地系統(tǒng)的行為,并 將這些記憶下來的內(nèi)容存儲(chǔ)到指定的日志文件中,這個(gè)日志文件中包含的內(nèi)容往往有被掃描的服務(wù)器端口號(hào)碼、訪問用戶名、客戶端的IP地址等;仔細(xì)分析這些內(nèi) 容,我們往往就能大概判斷出本地IIS服務(wù)器系統(tǒng)有沒有安全隱患存在。 在查看本地系統(tǒng)的日志文件時(shí),我們可以先依次單擊“開始”/“設(shè)置”/“控制面板”命令,然后用鼠標(biāo)雙擊系統(tǒng)控制面板窗口中的“管理工具”圖標(biāo),在彈出的管理工具窗口中再雙擊“事件查看器”選項(xiàng),進(jìn)入本地系統(tǒng)的事件查看器窗口(如下圖所示)。  在上圖界面的左側(cè)子窗格中,我們會(huì)看到日志文件主要包含安全日志、系統(tǒng)日志、應(yīng)用程序日志這幾種類型。用鼠標(biāo)點(diǎn)選某一種類型的日志文件,在對(duì) 應(yīng)該文件的右側(cè)子窗格中,我們就能看到所有日志記錄的列表了,用鼠標(biāo)雙擊某一個(gè)日志記錄,在其后彈出的屬性設(shè)置對(duì)話框中我們就能看到具體的記錄內(nèi)容了,根 據(jù)記錄內(nèi)容我們就能直觀地了解到服務(wù)器系統(tǒng)在什么時(shí)間發(fā)生了什么事情。 對(duì)IIS服務(wù)器系統(tǒng)的各種日志文件進(jìn)行分析,我們就能看到各種審核事件的記錄,這些內(nèi)容記錄了所有訪問者在IIS服務(wù)器系統(tǒng)中的各種活動(dòng),通過對(duì)各種活動(dòng)行為的分析,我們就能很輕易地找到本地IIS服務(wù)器系統(tǒng)究竟存在哪些安全隱患了。 不過,一些黑客在攻擊了目標(biāo)IIS服務(wù)器系統(tǒng)之后,往往會(huì)千方百計(jì)地想辦法清空IIS服務(wù)器系統(tǒng)中各種類型的日志文件,以便將它們攻擊IIS 服務(wù)器系統(tǒng)時(shí)遺留下來的痕跡全部清除干凈,那樣一來網(wǎng)絡(luò)管理員就無法從系統(tǒng)的各個(gè)日志文件中,快速尋找到IIS服務(wù)器系統(tǒng)的各種安全隱患了。所以,有效地 保護(hù)好IIS服務(wù)器系統(tǒng)的日志文件,對(duì)追查系統(tǒng)的安全隱患以及尋找非法攻擊者具有很大的幫助。 如果遇到服務(wù)器系統(tǒng)日志文件被刪除的情況時(shí),我們可以使用專業(yè)的數(shù)據(jù)恢復(fù)工具來嘗試還原數(shù)據(jù)信息和日志文件;因?yàn)閯h除日志文件往往是非法攻擊 者在IIS服務(wù)器系統(tǒng)中進(jìn)行的最后一項(xiàng)操作,一般來說他們?cè)趧h除完日志文件后不會(huì)在服務(wù)器系統(tǒng)中進(jìn)行其他的操作了,所以在遇到日志文件被非法刪除的現(xiàn)象 時(shí),我們千萬不能向服務(wù)器系統(tǒng)執(zhí)行任何添加刪除操作,以便確保專業(yè)工具能夠成功地將已經(jīng)刪除了的日志文件恢復(fù)成功。 另外,要是IIS服務(wù)器系統(tǒng)工作的時(shí)間比較長(zhǎng),目標(biāo)網(wǎng)站站點(diǎn)的訪問流量比較大時(shí),那么服務(wù)器自動(dòng)生成的日志文件可能就比較大,此時(shí)再按照上面的方法來分析 系統(tǒng)的各種日志文件時(shí),就顯得十分麻煩,而且也不容易分析準(zhǔn)確。為此,在這種情況下,我們需要借助專業(yè)的日志分析工具來幫忙,當(dāng)然也可以使用 Windows系統(tǒng)自帶的“find”功能命令來幫忙。 當(dāng)然有的時(shí)候,單純依靠IIS服務(wù)器系統(tǒng)日志文件,我們并不能明確找到某些安全隱患,這個(gè)時(shí)候還可以嘗試借用其他軟件的一些日志記錄,來進(jìn)行進(jìn)一步安全篩 查操作。例如,在IIS服務(wù)器系統(tǒng)的日志文件中一旦發(fā)現(xiàn)有可疑的事件或?qū)ο髸r(shí),我們應(yīng)該將它們發(fā)生的具體時(shí)間記錄下來,并且在所有日志種類中篩選出指定時(shí) 間內(nèi)記錄下來的所有記錄,然后綜合分析一下防火墻程序的日志文件或Serv-U程序的日志文件,如此一來我們就能輕易找到具體的安全隱患了。 二、遠(yuǎn)程追蹤,揪出非法黑客 筆者下午上班后,象往常一樣檢查了一下單位文件服務(wù)器的運(yùn)行狀態(tài),在檢查過程中筆者發(fā)現(xiàn)文件服務(wù)器中的一些重要數(shù)據(jù)被非法黑客竊取了;為了防止非法黑客繼續(xù)攻擊單位的文件服務(wù)器,筆者立即聯(lián)系了遠(yuǎn)在外地學(xué)習(xí)的網(wǎng)絡(luò)管理員小王,請(qǐng)求他想辦法解決這一安全麻煩。 網(wǎng)絡(luò)管理員小王建議先仔細(xì)查看一下文件服務(wù)器的日志,無奈筆者并不能從日志文件中看出什么名堂;經(jīng)過一番協(xié)商,網(wǎng)絡(luò)管理員小王準(zhǔn)備嘗試使用遠(yuǎn) 程管理的方法來查看文件服務(wù)器的日志文件,經(jīng)過他的遠(yuǎn)程追蹤,終于將非法黑客揪了出來。現(xiàn)在,本文就將網(wǎng)絡(luò)管理員小王遠(yuǎn)程查看日志文件的具體過程還原出 來,供各位朋友們參考! 要想通過遠(yuǎn)程管理方法來遠(yuǎn)程查看服務(wù)器系統(tǒng)中的日志文件,我們需要先在服務(wù)器系統(tǒng)中安裝啟用好遠(yuǎn)程管理功能組件,該功能組件在默認(rèn)狀態(tài)下并沒有被安裝。在安裝遠(yuǎn)程管理功能組件時(shí),我們可以按照如下步驟來操作: 首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入服務(wù)器系統(tǒng),在該系統(tǒng)桌面中依次單擊“開始”/“設(shè)置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,雙擊 “添加或刪除程序”圖標(biāo),在其后出現(xiàn)的窗口中單擊“添加/刪除Windows組件”標(biāo)簽,打開Windows組件向?qū)?duì)話框(如下圖所示);  其次選中該向?qū)?duì)話框中的“應(yīng)用程序服務(wù)器”選項(xiàng),同時(shí)單擊該選項(xiàng)下面的“詳細(xì)信息”按鈕,在其后彈出的設(shè)置對(duì)話框中,看看 “Internet信息服務(wù)(IIS)”項(xiàng)目有沒有被選中,如果發(fā)現(xiàn)該選項(xiàng)還沒有被選中時(shí),我們應(yīng)該及時(shí)將它重新選中(如下圖所示),然后再單擊“詳細(xì)信 息”按鈕,同時(shí)將其后界面中的“萬維網(wǎng)服務(wù)選項(xiàng)”選中;  緊接著再單擊“萬維網(wǎng)服務(wù)選項(xiàng)”項(xiàng)目下面的“詳細(xì)信息”按鈕,打開萬維網(wǎng)服務(wù)列表窗口,選中其中的“遠(yuǎn)程管理(HTML)”功能組件選中,再單擊“確定”按鈕,之后根據(jù)屏幕提示完成剩余的操作就能安裝好服務(wù)器系統(tǒng)的遠(yuǎn)程管理功能組件了。 下面我們就能通過遠(yuǎn)程管理功能組件來遠(yuǎn)程查看服務(wù)器系統(tǒng)的日志文件了。在進(jìn)行遠(yuǎn)程查看服務(wù)器系統(tǒng)的日志文件時(shí),我們可以先在異地計(jì)算機(jī)中啟動(dòng) 運(yùn)行IE瀏覽器程序,在對(duì)應(yīng)窗口的地址欄中輸入https://xxx.xxx.xxx.xxx:8098(其中xxx.xxx.xxx.xxx為目標(biāo)服 務(wù)器系統(tǒng)所在的主機(jī)IP地址),而“8098”為服務(wù)器系統(tǒng)默認(rèn)開啟的遠(yuǎn)程管理端口號(hào)碼; 單擊回車鍵后,屏幕上將會(huì)出現(xiàn)遠(yuǎn)程登錄對(duì)話框,在其中正確輸入目標(biāo)服務(wù)器系統(tǒng)的登錄賬號(hào)與密碼,再單擊對(duì)應(yīng)窗口的“確定”按鈕,我們就能進(jìn)入 目標(biāo)服務(wù)器系統(tǒng)的Web訪問接口管理頁面;單擊該管理頁面中的“維護(hù)”超級(jí)鏈接,進(jìn)入到系統(tǒng)維護(hù)頁面,繼續(xù)單擊該頁面中的“日志”超級(jí)鏈接,打開目標(biāo)服務(wù) 器系統(tǒng)的日志管理頁面,在該頁面中我們就能遠(yuǎn)程查看各種日志信息了,同時(shí)還能遠(yuǎn)程刪除或遠(yuǎn)程下載日志文件。 在遠(yuǎn)程查看具體的日志內(nèi)容時(shí),也是非常的簡(jiǎn)單,我們只要在日志管理頁面中單擊“Web管理日志”超級(jí)鏈接,在對(duì)應(yīng)的超級(jí)鏈接頁面中選中待查看的目標(biāo)日志文件,然后單擊“查看日志”按鈕,具體的日志內(nèi)容就能顯示在IE瀏覽器窗口中了。 三、巧用日志排查故障 下面,本文就從實(shí)戰(zhàn)角度出發(fā),來為大家詳細(xì)推薦幾則巧妙使用Windows系統(tǒng)內(nèi)置日志文件,來高效、快捷地尋找故障原因,最終實(shí)現(xiàn)有效改善網(wǎng)絡(luò)管理效率的目的。 1、定位網(wǎng)絡(luò)訪問不通原因 在計(jì)算機(jī)數(shù)量相對(duì)較多的局域網(wǎng)網(wǎng)絡(luò)中,網(wǎng)絡(luò)管理員一般會(huì)在局域網(wǎng)中架設(shè)DHCP服務(wù)器來為所有計(jì)算機(jī)自動(dòng)分配合適的IP地址,以便提高網(wǎng)絡(luò)管 理效率。一旦普通計(jì)算機(jī)無法從局域網(wǎng)的DHCP服務(wù)器那里申請(qǐng)得到合適的IP地址時(shí),Windows系統(tǒng)將會(huì)自動(dòng)為其分配一個(gè)保留地址為目標(biāo)計(jì)算機(jī),并且 打開系統(tǒng)的日志文件時(shí),我們還會(huì)看到其中包含一個(gè)ID為“1007”的事件記錄。 依照上述分析,我們?nèi)蘸笸耆梢酝ㄟ^查看日志文件的方法,來定位網(wǎng)絡(luò)訪問不通的原因。例如,要是日后看到目標(biāo)計(jì)算機(jī)系統(tǒng)不能正常訪問網(wǎng)絡(luò)時(shí), 我們可以嘗試打開對(duì)應(yīng)計(jì)算機(jī)系統(tǒng)的事件查看器窗口,從中找到系統(tǒng)日志文件,同時(shí)認(rèn)真篩查其中是否有ID為“1007”的事件記錄,如果找到了這個(gè)事件記 錄,那么我們就能認(rèn)定網(wǎng)絡(luò)訪問不通的原因是目標(biāo)計(jì)算機(jī)系統(tǒng)沒有正確地從局域網(wǎng)DHCP服務(wù)器那里申請(qǐng)到合法的IP地址,這個(gè)時(shí)候我們只要將故障排查范圍鎖 定在DHCP服務(wù)器上就可以了;如果發(fā)現(xiàn)局域網(wǎng)DHCP服務(wù)器能夠正常工作,我們只要仔細(xì)檢查目標(biāo)計(jì)算機(jī)與局域網(wǎng)DHCP服務(wù)器之間的網(wǎng)絡(luò)連接是否通暢, 如此一來我們就能快速有效地解決網(wǎng)絡(luò)訪問不通的故障現(xiàn)象了。 2、定位無法登錄網(wǎng)絡(luò)原因 我們知道,MSNMessenger、QQ等通信類應(yīng)用程序,在工作過程中也會(huì)自動(dòng)產(chǎn)生自己的日志文件,來將目標(biāo)應(yīng)用程序登錄網(wǎng)絡(luò)的情況記錄保存下來,我們同樣也可以利用它們的日志文件來定位登錄網(wǎng)絡(luò)失敗的故障原因。 比方說,一旦大家在登錄QQ時(shí)發(fā)生了無法登錄網(wǎng)絡(luò)的故障提示時(shí),大家不妨在故障提示界面中單擊“詳細(xì)信息”按鈕,之后大家就能從詳細(xì)信息提示 中看到QQ應(yīng)用程序與多個(gè)TCP、UDP服務(wù)器嘗試建立了網(wǎng)絡(luò)連接,但是每個(gè)網(wǎng)絡(luò)連接都提示為域名解析失敗,最終造成了登錄網(wǎng)絡(luò)失敗故障;這個(gè)時(shí)候,大家 可以單擊提示界面中的“疑難解決”按鈕,那樣一來QQ應(yīng)用程序就能對(duì)當(dāng)前網(wǎng)絡(luò)連接進(jìn)行自動(dòng)診斷,診斷操作結(jié)束后,大家就可以初步判斷出TCP、UDP服務(wù) 器的IP地址是否能夠被Ping通,本地網(wǎng)絡(luò)的網(wǎng)關(guān)地址測(cè)試是否能被Ping通;要是發(fā)現(xiàn)本地網(wǎng)關(guān)地址無法通過檢測(cè)時(shí),那大家基本就能斷定無法登錄網(wǎng)絡(luò)的 原因多半是本地計(jì)算機(jī)與網(wǎng)關(guān)設(shè)備之間的網(wǎng)絡(luò)連接出現(xiàn)了故障,此時(shí)大家只要仔細(xì)檢查本地計(jì)算機(jī)的物理線路就能快速解決無法登錄網(wǎng)絡(luò)的故障現(xiàn)象了。 3、定位應(yīng)用程序出錯(cuò)原因 要是自己的計(jì)算機(jī)系統(tǒng)頻繁發(fā)生應(yīng)用程序出錯(cuò)故障現(xiàn)象時(shí),該怎么辦呢?其實(shí),我們可以自己動(dòng)手,來查看系統(tǒng)的日志文件,從中找到應(yīng)用程序出錯(cuò)的故障原因,下面就是具體的操作步驟: 首先在自己的計(jì)算機(jī)系統(tǒng)桌面中,依次單擊“開始”/“設(shè)置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,用鼠標(biāo)雙擊“管理工具”圖標(biāo),在彈出的管理工具列表窗口中,雙擊事件查看器圖標(biāo),進(jìn)入對(duì)應(yīng)系統(tǒng)的事件查看器窗口; 其次在事件查看器窗口的左側(cè)顯示區(qū)域,點(diǎn)選“應(yīng)用程序”選項(xiàng),在對(duì)應(yīng)該選項(xiàng)的右側(cè)顯示區(qū)域,我們就能清楚地看到應(yīng)用程序運(yùn)行方面的事件記錄; 一旦某個(gè)應(yīng)用程序發(fā)生崩潰現(xiàn)象時(shí),我們就能從對(duì)應(yīng)的應(yīng)用程序日志中尋找到對(duì)應(yīng)的記錄內(nèi)容了,透過記錄內(nèi)容我們就能快速尋找到應(yīng)用程序出錯(cuò)的原因了。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長(zhǎng)轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長(zhǎng)一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長(zhǎng)網(wǎng)微信
大家都在看
