Аудит IIS
Аудит IIS дополняет аудит Windows 2000 широким спектром возможностей, гибких опций и высоким уровнем детализации. Аудит IIS можно настроить глобально для всех сайтов сервера, можно включить и выключить для каждого веб-сайта по отдельности. Можно указать, аудит каких событий необходимо осуществлять для каждого сайта, каталога, виртуального каталога или файла. Если ведение журнала включено для всего сайта, его можно отключить для отдельных объектов.
Журнал и аудит IIS фиксируют события, связанные с IIS и относящиеся к входящему и исходящему трафику HTTP (или FTP и NNTP), а также информацию об IP-адресах, которая не фиксируется в журналах и аудитом Windows 2000. По этой причине аудит IIS отслеживает действия посетителей сайта и идентифицирует их по IP-адресу. Можно фиксировать данные о попытках доступа посетителей к веб-страницам или к другой части сервера, а также записывать выполняемые ими действия.
Аудит IIS выявит действия посетителей, которые, как правило, являются признаками вторжения или попытки атаки:
- большое количество неудавшихся попыток входа с одного и того же IP-адреса;
- неудавшиеся попытки доступа или изменение файлов .bat или .cmd, запуск исполняемых файлов или сценариев;
- несанкционированные попытки доступа к защищенным каталогам или отгрузка файлов в папку с исполняемыми файлами.