Determine porque os logs foram removidos

Question

Determine porque os logs foram removidos

#1 resposta do (1 votos)

4

Tivemos alguns problemas com um usuário se conectando por meio do OWA. Este usuário costumava ser um administrador de servidor.

Após a verificação hoje, todos os registros do IIS foram removidos até e incluindo a 30 (no dia em que os problemas foram diagnosticados). Nós temos um back-up e, claro, todas as senhas nos servidores e contas foram alteradas, e eu verifiquei os logs do sistema - não parece haver um IP que corresponda ao endereço do usuário em particular.

Os "security" -logs parecem ter sido eliminados, mas não há nenhum evento de log que os logs tenham sido eliminados. Há também vários outros logs de eventos (como o RDP) que não mostram o IP e datam em agosto. Parece que esses logs estão atingindo seu tamanho máximo de 20MB e depois fazendo algum tipo de logrotate.

Claro, tentando ser um administrador tão bom quanto eu posso ser, eu sou um controle total. Alguém pode me explicar se é possível que o Windows elimine automaticamente logs a cada 3 meses? Ou isso pode ser feito na web? (só temos o OWA / ECP para o Exchange 2013).

Também notei que o servidor físico está com pouco disco ... Isso pode ser uma razão?

iis-8 iis windows-server-2012

por QuintenVK 03.10.2013 / 14:58

1 resposta

Tags iis-8 iis windows-server-2012

mysql deixa de responder ao mesmo tempo todos os dias toque interfaces sempre desabilitadas na ponte linux

score 1 · Accepted Answer

Os logs são eliminados automaticamente (em uma rotação baseada em tempo ou tamanho) porque o espaço em disco é finito. Manter cada entrada de log para sempre preencheria até mesmo o maior dos discos rapidamente, e todo sistema operacional faria algum tipo de limpeza de log.

Embora isso responda à sua pergunta, isso não resolve o seu problema: alguém que não deveria ter acesso aos seus servidores claramente ainda faz (pelo menos através do OWA).
Sugiro que você revise Como faço para lidar com um servidor comprometido? como outros sugeriram, e decidindo como proceder com base no feedback dado lá.
Também aconselho vivamente a forçar uma alteração de senha para todos os usuários - Se essa pessoa estiver fazendo login como um ex-funcionário que sabe que outras partes obscuras eles podem estar retendo (cópias das senhas de todos, talvez?).

Depois disso, você pode começar a pensar em uma política de segurança real para sua empresa. Assim, na próxima vez que você demitir alguém, verifique se todo o acesso foi revogado corretamente ...