10秒后自動關閉
IIS如何記錄POST數據日志

網站日志是管理員分析網站運行數據和黑客入侵痕跡必不可少的東西。要復現黑客入侵行為,需要對黑客的所有請求行為完整記錄日志,尤其是黑客上傳的數據。


作為三大WebServer,Apache和Nginx可以記錄GET、POST、UA、Cookie等完整的數據日志,但是IIS卻有一個致命缺陷:不能記錄POST數據日志。POST數據是非常核心的日志數據,例如黑客上傳網頁木馬、暴力破解網站密碼等,都是發(fā)送的POST數據。這就導致復現黑客入侵行為時,由于缺少POST核心數據,無法獲知黑客具體的危險操作內容,這無疑給排查工作帶來了非常大的阻礙。


要解決這個問題,只依靠IIS肯定是無法解決的,因為微軟壓根就沒這個功能。因此我們需要使用第三方組件來實現,慶幸的是,筆者發(fā)現一款軟件可以解決這個問題,這款軟件叫《護衛(wèi)神.防入侵系統(tǒng)》,是專業(yè)的網站防火墻和服務器防火墻,主要用于防止黑客入侵,有100多個防護模塊,可提供全方位的安全保護。在其“網站防護”模塊有一個子模塊,叫“請求數據快照”(如下圖一),可以記錄GET和POST日志數據,同時還會記錄“請求時間、客戶端IP、URL地址、User-Agent、Cookie”等對排查工作有用的數據。


記錄IIS的POST日志數據

(圖一:記錄IIS的POST日志數據)


如上圖設置,只記錄10-999999字節(jié)范圍內的POST數據,并且保留30天。保存后系統(tǒng)就會自動記錄客戶端請求的POST數據了(如下圖二),要排查黑客入侵行為,只需要通過搜索客戶端IP就可以篩選出所有相關日志,一目了然查看到黑客的所有操作(如圖三),是不是非常簡單呢?只需開啟一下模塊,就可以完整記錄IIS的POST數據日志。


記錄的所有POST數據日志

(圖二:記錄的所有POST數據日志)



詳細的POST日志

(圖三:詳細的POST日志)