10秒后自動關閉
IIS如何記錄POST數(shù)據日志

網站日志是管理員分析網站運行數(shù)據和黑客入侵痕跡必不可少的東西。要復現(xiàn)黑客入侵行為,需要對黑客的所有請求行為完整記錄日志,尤其是黑客上傳的數(shù)據。


作為三大WebServer,Apache和Nginx可以記錄GET、POST、UA、Cookie等完整的數(shù)據日志,但是IIS卻有一個致命缺陷:不能記錄POST數(shù)據日志。POST數(shù)據是非常核心的日志數(shù)據,例如黑客上傳網頁木馬、暴力破解網站密碼等,都是發(fā)送的POST數(shù)據。這就導致復現(xiàn)黑客入侵行為時,由于缺少POST核心數(shù)據,無法獲知黑客具體的危險操作內容,這無疑給排查工作帶來了非常大的阻礙。


要解決這個問題,只依靠IIS肯定是無法解決的,因為微軟壓根就沒這個功能。因此我們需要使用第三方組件來實現(xiàn),慶幸的是,筆者發(fā)現(xiàn)一款軟件可以解決這個問題,這款軟件叫《護衛(wèi)神.防入侵系統(tǒng)》,是專業(yè)的網站防火墻和服務器防火墻,主要用于防止黑客入侵,有100多個防護模塊,可提供全方位的安全保護。在其“網站防護”模塊有一個子模塊,叫“請求數(shù)據快照”(如下圖一),可以記錄GET和POST日志數(shù)據,同時還會記錄“請求時間、客戶端IP、URL地址、User-Agent、Cookie”等對排查工作有用的數(shù)據。


記錄IIS的POST日志數(shù)據

(圖一:記錄IIS的POST日志數(shù)據)


如上圖設置,只記錄10-999999字節(jié)范圍內的POST數(shù)據,并且保留30天。保存后系統(tǒng)就會自動記錄客戶端請求的POST數(shù)據了(如下圖二),要排查黑客入侵行為,只需要通過搜索客戶端IP就可以篩選出所有相關日志,一目了然查看到黑客的所有操作(如圖三),是不是非常簡單呢?只需開啟一下模塊,就可以完整記錄IIS的POST數(shù)據日志。


記錄的所有POST數(shù)據日志

(圖二:記錄的所有POST數(shù)據日志)



詳細的POST日志

(圖三:詳細的POST日志)