网管必学技术之IIS日志分析方法及工具(2)

请求动作 GET /seek/images/ip.gif - 200

返回结果 - 200 （用数字表示，如页面不存在则以404返回）

浏览器类型 Mozilla/5.0+

系统等相关信息 X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7

附：IIS的FTP日志

IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW日志一样，也是默认每天一个日志。

日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。

它也是文本文件，同样可以使用任何编辑器打开，例如记事本程序。

和IIS的WWW日志相比，IIS的FTP日志文件要丰富得多。

下面列举日志文件的部分内容。

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2002-07-24 01:32:07

#Fields: time cip csmethod csuristem scstatus

03:15:20 210.12.195.3 [1]USER administator 331

（IP地址为210.12.195.2用户名为administator的用户试图登录）

03:16:12 210.12.195.2 [1]PASS - 530 （登录失败）

03:19:16 210.12.195.2 [1]USER administrator 331

（IP地址为210.12.195.2用户名为administrator的用户试图登录）

03:19:24 210.12.195.2 [1]PASS - 230 （登录成功）

03:19:49 210.12.195.2 [1]MKD brght 550 （新建目录失败）

03:25:26 210.12.195.2 [1]QUIT - 550 （退出FTP程序）

有经验的用户可以通过这段FTP日志文件的内容看出，来自IP地址210.12.195.2的远程客户从2002年7月24日3：15开始试图登录此服务器，先后换了2次用户名和口令才成功，最终以administrator的账户成功登录。

这时候就应该提高警惕，因为administrator账户极有可能泄密了，为了安全考虑，应该给此账户更换密码或者重新命名此账户。

如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢？可以在日志里看到类似如下的记录：

如果有人曾经执行过copy、del、echo、.bat等具有入侵行为的命令时，会有以下类似的记录：

13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401

13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200

13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401

相关软件介绍：

如果入侵者技术比较高明，会删除IIS日志文件以抹去痕迹，这时可以到事件查看器看来自W3SVC的警告信息，往往能找到一些线索。

当然，对于访问量特别大的Web服