本文目录一览:
怎么查看服务器的安全日志
Windows系统的话,右键计算机(我的电脑)——管理——系统工具——事件查看器——Windows日志——安全。
windows下如何通过日志查看入侵记录
Windows的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt;
如何查看Web服务器日志
利用Windows 2003服务器的远程维护功能,并通过IE浏览界面,就能对服务器的日志文件进行远程查看了,不过默认状态下,Windows 2003服务器的远程维护功能并没有开通,需要手工启动。
查看服务器日志文件的作用
网站服务器日志记录了web服务器接收处理请求以及运行时错误等各种原始信息。通 过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误原 因、了解客户访问分布等,更好的加强系统的维护和管理。
对于自己有服务器的朋友或是有条件可以看到服务器日志文件的朋友来说,无疑是了 解搜索引擎工作原理和搜索引擎对网页抓取频率的最佳途径。
通过这个文件,您可以了解什么搜索引擎、什么时间、抓取了哪些页面,以及可以知 道是主搜索蜘蛛还是从搜索蜘蛛抓取了您的网站等的信息。
访问原理
1、客户端(浏览器)和Web服务器建立TCP连接,连接建立以后,向Web服务器发出 访问请求(如:Get),根据HTTP协议该请求中包含了客户端的IP地址、浏览器类型、 请求的URL等一系列信息。
2、Web服务器收到请求后,将客户端要求的页面内容返回到客户端。如果出现错误,那么返回错误代码。
3、服务器端将访问信息和错误信息纪录到日志文件里。
下面我们就对本公司自己服务器其中的一个日志文件进行分析。由于文件比较长,所以我们只拿出典型的几种情况来说明。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 03:56:30
#Fields:
date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12
03:56:30 三圆三圆三圆** 218.25.92.169 GET / - 80 - 220.181.18.98
Baiduspider+(+) 403 14 5
/* 说明 */
上面定义了在2006年5月12日的3点56分30秒的时候,IP为220.181.18.98的百度蜘蛛通过80端口(HTTP)访问了IP为218.25.92.169的服务器的根目录,但被拒绝。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 10:18:39
#Fields:
date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12
10:33:36 三圆三圆三圆** 218.25.92.169 GET /***/index.htm - 80 - 10.2.57.6
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-05-12
10:33:36 三圆三圆三圆** 218.25.92.169 GET /***/***/***.gif - 80 - 10.2.57.6
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
/* 说明 */
上面定义了在2006年5月12日的10点33分36秒的时候,IP为10.2.57.6的用户正常访问了网站三圆三圆三圆**中***目录下的index.htm页和***/***下的***。gif图片。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 13:17:46
#Fields:
date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12
13:17:46 三圆三圆三圆** 218.25.92.169 GET /robots.txt - 80 - 66.249.66.72
Mozilla/5.0+(compatible;+Googlebot/2.1;++)
404 0 2
2006-05-12 13:17:46 三圆三圆三圆** 218.25.92.169 GET / - 80 -
66.249.66.72
Mozilla/5.0+(compatible;+Googlebot/2.1;++)
403 14 5
/* 说明 */
上面定义了在2006年5月12日的13点17分46秒的时候,IP为66.249.66.72的Google蜘蛛访问了robots.txt文件,但没有找到此文件,有访问了此网站的根目 录,但被拒绝。
现在也有很多日志分析工具,如果您的服务器流量很大的话,作者推荐使用分析工具来分析服务器日志。
怎么查看服务器被入侵?
在网上,有不少人恶意入侵别人的服务器,做一些坏事。作为服务器管理人员,要经常检查自己的服务器安全。如果发现服务器被入侵,要尽快做相关的补救措施。但前提,你要能发现自己的服务器被入侵。其实还是有一些技巧的:第一步、检查系统组及用户有没有异常1:我的电脑——右键管理——本地用户和组——组检查administrators组内是否存在除开管理员用户账号(默认为administrator)以外的其他用户账号。检查users组内是否存在非系统默认账号或管理员指定账号。2:本地用户和组——用户检查是否存在未做注释或名称异常的用户。如果发现有异常,马上删除这些异常用户。第二步:查看管理员的日常登录日志。主要是检查管理员账户是否存在异常的登陆和注销记录具体的操作步骤:我的电脑——右键管理——事件查看器——安全性具体的检查方法:筛选所有事件ID为576和528的事件(576为系统登陆日志528为系统注销日志)查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。一般通过上面两个方法,就很容易检查到自己的服务器有没有被入侵。