10秒后自動關(guān)閉
IIS如何記錄POST數(shù)據(jù)日志

網(wǎng)站日志是管理員分析網(wǎng)站運行數(shù)據(jù)和黑客入侵痕跡必不可少的東西。要復(fù)現(xiàn)黑客入侵行為,需要對黑客的所有請求行為完整記錄日志,尤其是黑客上傳的數(shù)據(jù)。


作為三大WebServer,Apache和Nginx可以記錄GET、POST、UA、Cookie等完整的數(shù)據(jù)日志,但是IIS卻有一個致命缺陷:不能記錄POST數(shù)據(jù)日志。POST數(shù)據(jù)是非常核心的日志數(shù)據(jù),例如黑客上傳網(wǎng)頁木馬、暴力破解網(wǎng)站密碼等,都是發(fā)送的POST數(shù)據(jù)。這就導(dǎo)致復(fù)現(xiàn)黑客入侵行為時,由于缺少POST核心數(shù)據(jù),無法獲知黑客具體的危險操作內(nèi)容,這無疑給排查工作帶來了非常大的阻礙。


要解決這個問題,只依靠IIS肯定是無法解決的,因為微軟壓根就沒這個功能。因此我們需要使用第三方組件來實現(xiàn),慶幸的是,筆者發(fā)現(xiàn)一款軟件可以解決這個問題,這款軟件叫《護衛(wèi)神.防入侵系統(tǒng)》,是專業(yè)的網(wǎng)站防火墻和服務(wù)器防火墻,主要用于防止黑客入侵,有100多個防護模塊,可提供全方位的安全保護。在其“網(wǎng)站防護”模塊有一個子模塊,叫“請求數(shù)據(jù)快照”(如下圖一),可以記錄GET和POST日志數(shù)據(jù),同時還會記錄“請求時間、客戶端IP、URL地址、User-Agent、Cookie”等對排查工作有用的數(shù)據(jù)。


記錄IIS的POST日志數(shù)據(jù)

(圖一:記錄IIS的POST日志數(shù)據(jù))


如上圖設(shè)置,只記錄10-999999字節(jié)范圍內(nèi)的POST數(shù)據(jù),并且保留30天。保存后系統(tǒng)就會自動記錄客戶端請求的POST數(shù)據(jù)了(如下圖二),要排查黑客入侵行為,只需要通過搜索客戶端IP就可以篩選出所有相關(guān)日志,一目了然查看到黑客的所有操作(如圖三),是不是非常簡單呢?只需開啟一下模塊,就可以完整記錄IIS的POST數(shù)據(jù)日志。


記錄的所有POST數(shù)據(jù)日志

(圖二:記錄的所有POST數(shù)據(jù)日志)



詳細的POST日志

(圖三:詳細的POST日志)