Ver quando o endereço IP foi bloqueado no IIS

1

Tivemos um problema recentemente em que nosso servidor começou a gerar 500 erros porque um endereço IP foi bloqueado e já havia sido bloqueado em outro lugar. Parece que o IP foi bloqueado em sites individuais antes e, em seguida, foi adicionado ao servidor. Gostaria de descobrir como esse erro pode ser acionado, mas isso é outra questão.

É possível encontrar logs quando esses blocos foram adicionados?

    
por Codeacula 08.05.2013 / 17:46

1 resposta

2

Não há entradas de log para esse tipo de operação nos logs de eventos do Windows.

No entanto, supondo que você esteja usando o IIS 7+ e as alterações não sejam feitas em arquivos web.config locais, pode haver uma maneira de descobrir quando ocorreu uma alteração na configuração.

Abra 'C: \ inetpub \ history' (talvez você precise fazer isso como um administrador elevado), há um monte de pastas CFGHISTORY_00000xxxxxx.

Sempre que você fizer alterações de configuração no IIS por meio da GUI, Script ou API, a versão anterior dos arquivos de configuração será salva aqui.

Restrições de IP são armazenadas em applicationHost.config, você pode usar uma ferramenta DIFF para comparar arquivos ou ver manualmente as seções 'ipSecurity' (geralmente no final do arquivo).

Isso pode dizer quando a alteração foi feita, mas não por quem. Você pode verificar os logs de eventos de um usuário que fez logon no servidor no mesmo período de tempo.

Em um determinado número de conjuntos de mudanças são armazenados e pastas de histórico mais antigas são excluídas automaticamente.

EDIT: Se você quiser manter mais entradas do histórico, use:

appcmd.exe set config -section:system.applicationHost/configHistory /maxHistories:"50" /commit:apphost

Mais informações sobre como configurar o histórico de configuração no iis.net

    
por 09.05.2013 / 15:29