返回IT运维网
日志分析让升级一目了然
2011-06-16 网管员世界 网管员世界

随着网络技术与网络安全的发展,越来越多的企业开始通过网络版杀毒软件打造企业内网的安全系统。虽然企业网络版杀毒软件在部署、更新及管理等方面都有很不错的表现,但是就笔者使用经验来说,在更新源的管理方面或多或少都存在着不足。例如,管理者无法实现更详细、更有效地针对更新源的过滤设置,一旦内网更新服务器地址或相关账户密码被泄露,服务器自身的负载将大大提高。

那么,有没有办法解决针对更新源管理的先天不足呢?答案是肯定的。以NOD32 网络版为例,默认情况下NOD32 自身有一个HTTP 发布功能,为了避免更新源管理方面的不足,本文为您介绍的对策就是:利用IIS 来实现HTTP 服务的开启,因为IIS 自身针对终端连接的数据管理功能强大,所以可以更好地针对更新源进行相关的过滤设置。

下面,我们就来探讨一下如何利用IIS 实现针对更新源进行相关过滤设置。

第一步:在IIS 管理器中选择病毒库发布站点,选择“属性”,找到“网站”标签下的“活动日志格式”旁的属性按钮,单击该按钮对W3C 扩展日志文件格式进行查询。

第二步:在打开的日志记录属性窗口中选择“常规”标签。在这里可以针对IIS 访问日志进行设置,默认各个日志都是按照日期每天单独建立文件记录访问信息的。

默认日志文件存储在C:\Windows\System32\logfiles 目录下,不同的站点存储在不同目录下。可以单击“浏览”按钮更改目录路径,也可以直接通过“我的电脑”找到相关目录进行查询。

第三步:进入该目录后,就可以看到多个LOG 日志文件了。每个日志文件按照日期单独存储,日志文件的名称格式是“ex+ 年份的末两位数字+ 月份+ 日期”。

要想提高日志的安全性,就不要使用默认的目录,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和SYSTEM 为完全控制的权限。如果发现IIS 日志再也不记录了,检查下是否启用日志记录,具体方法是在网站的属性中,查看“网站”→“启用日志”是否勾选。

第四步:打开相关日志文件后,可以查询到IIS 站点的访问日志。这里记录的信息还是非常详细的,开头四行都是日志的说明信息。接下来依次是远程访问客户端的信息,包括连接时间、IP 地址、端口、请求动作、返回结果(用数字表示,如页面不存在则以404 返回)、浏览器类型、系统等相关信息。例如,笔者的日志中就能够查看到来自124.64.180.131 这台主机针对我们的更新服务器进行了访问,同时更新了自身的病毒库。

日志中记录的信息很多,可以通过日志文件了解到远程访问客户端的详细信息,如使用的操作系统类别、安装补丁情况、IE 浏览器版本等。

默认情况下,日志文件会记录很多信息,如果想对记录信息进行调整,可以进入“网站属性→网站标签→活动日志格式属性→高级标签”,然后针对相关的扩展日志选项参数配置即可。

通过本文介绍的查询IIS 日志文件的方法,可以知道到底哪些远程客户端连接了内网的网络版杀毒软件更新服务器,从而更好地掌握升级服务器泄露的情况,然后结合IIS 的过滤功能针对非法远程访问客户端进行访问阻止等操作。另外,利用相关的功能强大的日志分析软件,甚至可以将日志中的文本信息进行统计归整,必要时通过图表等方式显示出来,便于对内网升级服务器的更新状况进行管理。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
推荐专题
中小企业到底需要什么样虚拟化?
中小企业到底需要什么样虚
如今,虚拟化技术影响IT领域的各个方面,但同时由于虚拟化涉及的应用范围和...
两大虚拟化联盟PK进行时
两大虚拟化联盟PK进行时
最近,在旧金山举行的开源软件商业会议上,IBM、惠普、英特尔、红帽、BMC、...
案例分析:SOHO路由器引起的IP地址冲突
案例分析:SOHO路由器引起
SOHO路由器,目前很多单位都在使用,常见的品牌有Cisco、H3C、TP-Link、D-L...
http://www.8899baijiale.com丨http://www.7788bocaiwang.com丨http://www.jrbocaitong.com