在Windows7上配置管理IIS日志记录

不仅仅是日志的格式，还是其他的一些可选项上， *** 作系统管理员有了更多的选择。如下图所示，就是IIS日志记录配置管理的基本页面。

在Windows7 *** 作系统中，IIS日志记录应该视为ISS所必需的而不是可选的组件。这主要是因为日志文件对于管理IIS服务器来说具有很关键的作用。如在这个IIS服务器在受到安全威胁的情况下，可以利用日志文件并对其中包含的内在细节执行排疑式审查。如到IIS服务器发生故障后也可以利用这个日志文件中所记录的信息来检查维护过程并识别系统中的问题。笔者这里就给大家介绍一下Windows7 *** 作系统中IIS日志记录相比Windows2003 *** 作系统的一些新特性，并帮助大家部署一种得心应手的日志管理模式。

一、选择合适的日志记录级别。

在IIS70版本中，系统管理员可以根据自己的需要选择合适的日志记录级别。如可以在服务器级别上进行日志记录管理，也可以在网站、WEB应用程序文件或者目录级别上实现它。具体要在那个级别上实现，主要看系统管理员的需要。不过需要注意的是，其实现级别的不同，所支持的日志文件格式也是不同的。如在“服务器”级别实现的话，其支持的日志格式就只有两种，分别为“W3C”格式与二进制格式。而如果选择“网站”级别上实现日志管理的话，则其支持的日志格式有三种，分别为IIS、NCSA、W3C格式。而且系统管理员如果觉得这些格式还不满足的话，可以通过“自定义”的方式来自定义自己需要的格式。所以在选择日志记录级别的时候，除了需要考虑在什么级别上进行日志管理比较方便与安全，同时还需要结合自己喜欢的日志格式。笔者个人喜欢在网站级别上对日志进行管理。因为在一台服务器上，如果只部署IIS服务的话，可能比较浪费。也就是说，在同一台服务器上可能有多个应用服务。为了跟其他应用服务与服务器 *** 作系统的日志区分开来，笔者就建议大家在网站级别上进行管理。当然，在哪个级别上进行日志管理，对于日志的内容没有实际性的差异。主要是看服务器的部署以及系统管理员的工作习惯而定。

二、为日志记录选择合适的格式。

如果选择网站级别来管理日志的话，这个日志的格式有多种选择。最重要的是，系统管理员可以选择IIS的日志记录格式。这个IIS日志记录格式是基于文本的日志记录。跟W3C日志记录格式类似，都是通过> *** 作步骤

1下载evtsys_exe_32zip，解压

2 拷贝解压文件 

将解压后的文件拷贝到发送syslog的windows主机的%systemroot%\system32目录下。

3 配置evtsys 

通过命令行输入：evtsys -i -h hostname

hostname为syslog服务器的主机名或IP地址，命令成功运行后会在系统增加EventLog to Syslog服务。

4 启动服务 

通过命令行输入：net start evtsys来启动服务。

5 更改配置 

如果要更改Syslog服务器的地址，则需要通过命令行输入： net stop evtsys evtsys -u

evtsys –i –h newhostname net start evtsys

6 安装3CDaemon 

在syslog服务器上安装3CDaemon ，3CDaemon 也有绿色版，直接双击就可运行。

7 配置3CDaemon 的syslog服务

在syslog服务器上启动33CDaemon ，点左边syslog sever的菜单条，设置接收任意IP地址或指定IP地址的Syslog

8 验证 

如果配置正确的话,在Syslog服务器上就能接收到客户端发送的Syslog了，客户端 *** 作系统启动时，也会有Syslog发送到Syslog服务器上。

众所周知，服务器 *** 作系统主要有三大类：Unix、Linux、WindowsServer。在Unix、Linux系统上没有太多抗攻击类软件，而Windows上面这方面安全软件就很多了。

一直以来，我都在使用Windows和Linux，对于Windows系统上的攻防也有一定了解。对于WindowsServer服务器上使用哪款防御软件好，没有很明确的答案。

首先说下，服务器上受到的攻击一般有这几种：

SQL注入；

CC攻击；

DDos攻击；

上传漏洞等等。

现在市面上有几款防御软件还是不错的（如安全狗、护卫神等），我之前一直用的是安全狗。其实它们的原理都一样，无非就是对于用户的请求、参数、频率做过滤分析，所以理论上都会对系统的性能产生一定影响。但从我之前的使用经历来看，我并没有感觉开启了这些防护软件后网站访问就变得很慢了。

虽然像安全狗这类的软件也有Linux版本的，但说实话，Linux系统上真的没有多少人会安装这类软件。这也从另一方面说明了，只要系统安全加固做到位，哪怕是没有这些防护软件，服务器也很难被人黑。对于WindowsServer，不管你选择了哪款防护软件，我建议你把站点权限设置到位，给一些方案供大家参考：

1、IIS站点启用不同的普通用户授权访问

不少人在同一台服务器上会部署多个网站，而每个网站都是使用同一个IIS来宾帐户来访问的，其实这是不安全的。我们建议给每个IIS绑定一个独立的应用池，每个站点使用单独的来宾帐号，避免站点间互相影响。

2、严格控制站点目录及文件的权限

对于网站而言，目录及文件的权限原则如下：

正常目录及文件：给读权限；

上传目录：只写、不读、不执行；

动态脚本：读、执行权限；

HTML等静态资源：只读、不执行。

以上就是我的观点，对于这个问题大家是怎么看待的呢？

概述
本文介绍Windows、Linux服务器查询系统的远程登录日志方法。

根据服务器所使用的 *** 作系统不同，有以下两种查询方法。

Linux *** 作系统的登录日志查询
通过远程连接登录Linux服务器，使用root用户执行last命令，系统会列出最近的登录记录。

注：last命令各输出列作用及含义。
· 第一列：用户名。
· 第二列：终端位置。pts/0 （伪终端）指 ssh命令或telnet命令远程连接用户，tty指本地连接用户。
· 第三列：登录IP或者内核 。00或无内容，表示用户从本地终端连接。除重启 *** 作，内核版本会显示在状态中。
· 第四列：开始时间。
· 第五列：结束时间（still logged in 状态：用户未退出，down 状态：直到正常关机，crash 状态：直到强制关机）。
· 第六列：持续时间。

Windows *** 作系统的登录日志查询
1、通过远程连接登录Windows服务器，单击 开始 > 运行（快捷键：win+R），输入eventvwrmsc并单击键盘的 Enter 回车按键，打开 事件查看器。

2、单击 Windows 日志，选中 安全 并右击，单击 查找，打开 查找 框。

3、在 查找内容（N） 处，输入“登录” 进行快速查找登录相关事件。

4、双击查找到的事件，单击 详细信息，查看 IpAddress 字段和 IpPort 字段信息。
注：
· IpAddress 字段记录的是登录过本机的IP地址。
· IpPort 字段记录的是登录过本机的端口

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(>