IIS 5.0的WWW日誌文件默認位置爲%systemroot%/system32/logfiles/w3svc1/,對於絕大多數系統而言(如果安裝系統時定義了系統存放目錄則根據實際情況修改)則是C:/winnt/system32/logfiles/w3svcl/,默認每天一個日誌。建議不要使用默認的目錄,更換一個記錄日誌的路徑,同時設置日誌訪問權限,只允許管理員和SYSTEM爲完全控制的權限,如圖2所示。
日誌文件的名稱格式是:ex+年份的末兩位數字+月份+日期,如2002年8月10日的WWW日誌文件是ex020810.log。IIS的日誌文件都是文本文件,可以使用任何編輯器打開,例如記事本程序。下面列舉說明日誌文件的部分內容。每個日誌文件都有如下的頭4行:
上面各行分別清楚地記下了遠程客戶端的IP地址、連接時間、端口、請求動作、返回結果(用數字表示,如頁面不存在則以404返回)、所使用的瀏覽器類型等信息。
IIS的FTP日誌文件默認位置爲%systemroot%/system32/logfiles/MSFTPSVC1/,對於絕大多數系統而言(如果安裝系統時定義了系統存放目錄則根據實際情況修改)則是C:/winnt/system32/logfiles/ MSFTPSVC1/,和IIS的WWW日誌一樣,也是默認每天一個日誌。日誌文件的名稱格式是:ex+年份的末兩位數字+月份+日期,如2002年8月10日的WWW日誌文件是ex020810.log。它也是文本文件,同樣可以使用任何編輯器打開,例如記事本程序。和IIS的WWW日誌相比,IIS的FTP日誌文件要豐富得多。下面列舉日誌文件的部分內容。
有經驗的用戶可以通過這段FTP日誌文件的內容看出,來自IP地址210.12.195.2的遠程客戶從2002年7月24日3:15開始試圖登錄此服務器,先後換了4次用戶名和口令才成功,最終以administrator的賬戶成功登錄。這時候就應該提高警惕,因爲administrator賬戶極有可能泄密了,爲了安全考慮,應該給此賬戶更換密碼或者重新命名此賬戶。
如何辨別服務器是否有人曾經利用過UNICODE漏洞入侵過呢?可以在日誌裏看到類似如下的記錄:
如果入侵者技術比較高明,會刪除IIS日誌文件以抹去痕跡,這時可以到事件查看器看來自W3SVC的警告信息,往往能找到一些線索。