主页 / server / 问题 / 56235
Accepted
Thomas Denton
Asked: 2009-08-20 09:38:29 +0800 CST

IIS 日志记录卷

  • 772

有什么理由继续记录一个非常大容量的网站吗?原始日志中有哪些有价值的数据。

我们今天确实保留了“以防万一”的日志,有人可以为“以防万一什么”提供答案吗?

iis

4 个回答

  1. Best Answer

    尝试将日志保留至少 1/2 周。您可以使用 OSSEC 等工具实时分析它们,并仅存储与安全相关的内容(多个 400、500 错误代码、扫描等)。

    查看此文档,了解有关保留这些日志的安全价值的一些想法:

    http://www.infosecwriters.com/texts.php?op=display&id=453

    • 3

  2. 您想保留日志,但可能会考虑聚合。我使用Analog生成存档的每周和每月报告。404 的一些历史比较导致修复了对我的网站的破坏性更改。

    我保留了几个月的 IIS 日志,但我已经获得了多年的月度模拟报告,这些报告都是由它们生成的。

    我的日志 + 报告的总大小很小 - 不到 50 MB。

    • 2

  3. 假设您在其他地方跟踪流量,我建议您最重要的用途是回溯在纯流量监视器中可能不容易看到的异常活动。比如一个IP对登录页面的多次请求,或者对/admin、/administration、/config等的大量404错误。

    • 1

  4. 在某些情况下,日志确实可以派上用场。正在进行的情况是趋势报告,可以向您显示页面浏览量或流量增长或引荐流量(哪个搜索引擎正在向您发送流量)。如果您有非常大的日志文件,那么经常处理这些文件并仅保留报告工具保留的摘要会很有用。

    如果您需要查找历史数据,另一件有用的事情是历史数据。如果您有 sql 注入攻击、任何其他类型的攻击,甚至是您想要追踪它何时启动的 DDOS 以及僵尸计算机是否来自某个区域,这将派上用场。在这些情况下,您将非常感谢您保留日志。

    此外,如果您有 PCI 或其他合规性要求,则可能需要保留一定数量的日志记录数据。

    您可以关闭某些文件夹的日志记录。例如,如果您有负载均衡器或监控软件,您可以关闭对其测试的文件夹的日志记录。您还可以关闭您的 \images 文件夹或其他可能会获得大量流量但不需要记录的文件夹。

    • 1

相关问题