Qui*_*nVK 5 iis windows-server-2012 iis-8
我们在用户通过 OWA 连接时遇到了一些问题。该用户曾经是服务器管理员。
经过今天的检查,直到 9 月 30 日(诊断出问题的那一天),所有 IIS 日志都已被删除。我们确实有备份,当然服务器和帐户上的所有密码都已更改,我检查了系统日志 - 似乎没有与该特定用户地址匹配的 IP。
“安全”日志似乎已被清除,但没有日志已被清除的日志事件。还有一些其他事件日志(例如 RDP)没有显示 IP,可以追溯到 8 月份。看起来这些日志实际上达到了 20MB 的最大大小,然后进行了某种形式的 logrotate。
当然,为了尽可能成为一名优秀的系统管理员,我完全是一个控制狂。谁能向我解释一下 Windows 是否有可能每 3 个月自动清除一次日志?或者这可以基于网络完成吗?(我们只有用于 Exchange 2013 的 OWA/ECP)。
我还注意到物理服务器在磁盘上运行不足......这可能是一个原因吗?
由于磁盘空间有限,日志会自动清除(基于时间或大小的轮换)。永久保留每个日志条目甚至会很快填满最大的磁盘,并且每个操作系统都会进行某种日志修剪。
虽然这回答了您的问题,但它并没有解决您的问题:不应该访问您的服务器的人显然仍然可以访问您的服务器(至少通过 OWA)。
我建议查看如何处理受损的服务器?正如其他人所建议的那样,并根据那里给出的反馈决定如何继续。
我还强烈建议强制所有用户更改密码 - 如果这个人以前雇员的身份登录,那么他知道他们可能保留了哪些其他可疑信息(可能是每个人密码的副本?)。
之后,您可以开始考虑为您的公司制定真正的安全策略,以便下次您解雇某人时,您可以确保所有访问权限都被正确撤销......
| 归档时间: |
|
| 查看次数: |
94 次 |
| 最近记录: |