Настройка параметров аудита IIS
Терминология IIS расплывчато описывает различие между ведением журнала и осуществлением аудита, и это обстоятельство вводит в некоторое заблуждение. Разобраться в терминах и разработать шаги по обеспечению аудита проще всего посредством включения журнала. Аудит IIS настраивается через параметры веб-сайта. Настройки аудита IIS дополняют параметры аудита Windows 2000. Параметры аудита IIS отвечают за отслеживание следующих объектов.
- Домашний каталог. Отслеживает посещения домашнего каталога сайта и его страниц.
- Процессы приложений. Осуществляет запись неудачных запросов клиентов в журналы событий.
- Изменения с помощью серверных расширений. Отслеживает изменения, вносимые в сайт при помощи серверных расширений FrontPage.
Затем убедитесь, что в области выделения Master Properties (Главные свойства) отображается WWW Services (Службы WWW), и нажмите на кнопку Edit (Изменить), чтобы открыть окно Properties рассматриваемого сайта.
Аудит событий, фиксируемых посредством настроек в расширенных параметрах ведения журнала. Расширенные параметры ведения журнала вкратце описаны в разделе "Настройка параметров файла журнала IIS" при обсуждении настройки журнала на веб-сайте IIS. Расширенные параметры настраиваются на вкладке Web Site (Веб-сайт) окна свойств сервера Properties (Свойства).
Список, приведенный ниже, содержит рекомендации Национальной службы безопасности США (NSA) по настройке дополнительных параметров для аудита веб-сервера.
- Дата и время события. Указывает время события.
- IP-адрес клиента. Указывает место, откуда клиент выполнял свои действия.
- Имя пользователя, осуществлявшего доступ к сайту. Отражает имя авторизованного пользователя, осуществившего доступ на сайт. К анонимным пользователям этот параметр не относится.
- Метод HTTP. Обозначает действие, которое пытался выполнить клиент (например, метод GET, используемый при загрузке файлов и при работе с формами).
- Ресурс URI.Записывает ресурс, к которому осуществлял доступ клиент (страница HTML, сценарий или приложение ISAPI).
- Запрос URI. Отображает запрос, который выполнял клиент.
- Время, затраченное на обработку запроса. Указывает время, в течение которого посетитель находился на сайте, или время, затраченное на выполнение события.
- Состояние запроса. Отображает состояние запроса (в терминах HTTP и/или в терминах Windows 2000).
- Предыдущий сайт. Указывает URL последнего сайта, посещенного клиентом (указывается путь, после которого указывается событие).
- Порт сервера. Фиксирует номер порта, к которому был подключен клиент.