Безопасность IIS
       

Настройка параметров журнала


Для отображения информации журнала, для установки и управления его параметрами используется программа Windows 2000 Event Viewer (Просмотр событий). Event Viewer позволяет устанавливать размер файла журнала, выбирать действие по перезаписи, включать и выключать параметр "CrashOnAuditFail". Для управления файлами журнала IIS используется консоль MMC Internet Services Manager (Диспетчер служб интернета).

Настройка размера и перезаписи файла журнала Windows 2000. Процедуры настройки размера файла журнала и параметров его перезаписи в Windows 2000 одинаковы для всех типов журнала.

  1. Откройте программу Event Viewer (Просмотр событий) в окне Administrative Tools (Администрирование).
  2. В левом окне консоли Event Viewer щелкните правой кнопкой мыши на записи Security Log (Журнал безопасности) и выберите Properties (Свойства). Откроется окно Security Log Properties (Свойства журнала безопасности) (см. рис. 5.2).
  3. На вкладке General (Общие) укажите размер файла журнала в области Log Size (Размер журнала). Значением по умолчанию является 1024 Кб. Введите нужное значение в зависимости от размера диска или раздела сервера, от объема получаемого сайтом трафика. Можете в течение некоторого времени отслеживать размер файла журнала, чтобы выяснить величину этого размера.


    Рис. 5.2.  Настройка свойств журнала безопасности в окне Security Log (Журнал безопасности)

  4. Определите параметр перезаписи файла посредством выбора одной из опций. Выбор опции зависит от периодичности, с которой планируется проводить архивацию данных журнала. При высоком уровне доступности сайта безопаснее всего использовать опцию Overwrite events as needed (Перезапись событий по мере надобности) и запретить заполнение журнала до отказа, так как в этом случае можно потерять данные.
  5. Нажмите на OK после выбора опции, чтобы сохранить изменения и закрыть окно.


Сервер будет отключаться, если в локальной политике безопасности включен параметр отключения, а параметр перезаписи файла журнала установлен на значение Do not overwrite (Не осуществлять перезапись). Данная опция по умолчанию отключена.

Для активизации политики отключения при ошибках аудита используется консоль MMC Local Security Policy (Локальная политика безопасности). Ниже приведена соответствующая процедура.

  1. Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Administrative Tools (Администрирование).
  2. Разверните список в элементе Local Policies (Локальные политики) в области слева, щелкните правой кнопкой мыши на папке Security Options (Параметры безопасности) и выберите команду Open (Открыть) (либо дважды щелкните на папке, чтобы открыть ее). В правом окне средства Local Security Settings отобразятся параметры политик безопасности (см. рисунок).


    увеличить изображение

  3. Щелкните правой кнопкой мыши на параметре Shut Down System Immediately If Unable To Log Security Audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности) в правом окне консоли и в контекстном меню выберите Security (Безопасность), чтобы отобразить диалоговое окно Policy Setting (Настройка политики).
  4. В диалоговом окне Policy Setting (Настройка политики) включите политику, нажав на кнопку Enable (Включен).


Изменение параметров файла журнала IIS. Параметры файла журнала IIS аналогичны параметрам файла журнала Windows 2000, но осуществляют управление несколько иным образом. Параметры файла журнала IIS можно установить глобально для всех веб-сайтов на сервере либо отдельно для каждого сайта. Ниже приведены действия по установке параметров файла журнала IIS.

  1. Откройте консоль Internet Services Manager (Диспетчер служб интернета) в окне Administration Tools (Администрирование).
  2. При глобальной настройке параметров для всех сайтов выберите в окне имя сервера. В противном случае укажите в области слева конкретный веб-сайт.


    Откройте вкладку Extended Properties (Расширенные параметры), показанную ниже, чтобы отобразить доступные параметры. Указанные Microsoft настройки по умолчанию, настройки IIS Lockdown достаточно всесторонни, однако в зависимости от ситуации можно отследить дополнительную информацию.


В таблице 5.3 приведен полный перечень расширенных параметров ведения журнала.

Таблица 5.3. Расширенные параметры файла журналаПолеВидОписание
ДатаdateДата события.
ВремяtimeВремя события.
IP-адрес клиентаc-ipIP-адрес клиента, осуществившего доступ к серверу.
Имя пользователяc-usernameИмя авторизованного пользователя, осуществившего доступ к серверу, исключая анонимных пользователей, представляемых в виде дефиса.
Имя службы и номер событияs-sitenameНомер службы интернета и события, выполнявшиеся на компьютере-клиенте.
Имя сервераs-computernameИмя сервера, на котором создана запись журнала.
IP-адрес сервераs-ipIP-адрес сервера, на котором создана запись журнала.
Методcs-methodДействие, выполняемое клиентом (например, метод GET).
Ресурс URIcs-uri-stemРесурс, к которому осуществлялся доступ.
Запрос URIcs-uri-queryЗапрос (если есть), выполняемый клиентом.
Состояние HTTPsc-statusСостояние действия в терминах HTTP.
Состояние Win32sc-win32-statusСостояние действия в терминах Windows 2000.
Байт отправленоsc-bytesЧисло байт, отправленное сервером.
Байт принятоcs-bytesЧисло байт, полученное сервером.
Порт сервераs-portНомер порта, к которому подключен клиент.
Затрачено времениTime-takenПромежуток времени, который заняло действие.
Версия протоколаcs-protocolВерсия протокола (HTTP, FTP), используемая по умолчанию клиентом. В случае с HTTP - HTTP1.0 или HTTP 1.1.
Агент пользователяcs(User-Agent)Браузер, работающий на клиенте.
Cookiecs(Cookie)Содержимое, отправленное или принятое элементом cookie, если таковое имеется.
Предыдущий сайтcs(Referer)Предыдущий сайт, который посетил пользователь. Данный сайт содержит ссылку на текущий сайт.

Содержание раздела