Rastreio de Uso do Windows Server

1

Vamos supor que o "Servidor-A" seja um Windows Server v2008 e que seja descomissionado fisicamente em breve.

Antecedentes: Não há nenhuma pista de que alguém esteja usando o servidor-A ou não. Precisamos de uma lista para entrar em contato com os clientes consumidores para obter seu consentimento antes da desativação. Dado que coletamos o inventário de dependências ativas em termos de solicitações da Web, acessos a pastas, acionadores de tarefas, etc.?

(1) Posso consultar o log do IIS para obter uma lista de solicitações de clientes se o servidor for usado como servidor da Web. Existe outra maneira de verificar novamente as solicitações da Web e onde posso reunir detalhes relevantes como IP, DNS, Última hora da solicitação e assim.

(2) Da mesma forma, como podemos verificar o uso de pastas compartilhadas? Quer dizer, algum cliente / aplicativo / trabalho ainda está acessando as pastas compartilhadas que criaram no Server-A? Existe algum recurso de auditoria?

(3) Como podemos rastrear os gatilhos para trabalhos agendados no Servidor-A? Sim, os registros de trabalho podem ser consultados. Existe um servidor Windows que nos permita esses detalhes?

Aprecie se alguém compartilhar as práticas recomendadas para esses cenários.Graças

    
por tech01230 27.02.2018 / 03:43

3 respostas

1

Deixe-me tentar responder à sua pergunta:
1) Não tenho certeza porque você está perguntando isso, como você já sabe, você pode consultar o log do IIS e a maioria das informações solicitadas está lá (IP de origem, último tempo de solicitação). Como alternativa, você pode tentar usar o Wireshark para capturar em seu número de porta de serviço da Web, como sugerido no item 2.
2) Você pode tentar usar o Wireshark para capturar as seguintes portas usadas pela pasta de compartilhamento do Windows (SMB). TCP: 139,445
UDP: 137,138
 Instale o software no servidor para capturar o tráfego. Você pode obter ajuda aqui no filtro de captura do Wireshark.
3) Não tenho certeza sobre quais detalhes você está pedindo, mas agendar trabalhos podem ser encontrados no Agendador de Tarefas no Windows, data da última execução & tempo, status da última execução, histórico e outras informações estão aqui.

Espero que minha resposta ajude:)

    
por 27.02.2018 / 11:12
0

Is there any other way to double check the Web requests and where I can gather relevant details like IP, DNS, Last request time and so.

Os logs do IIS são o local correto para procurar isso. Apenas certifique-se de que todos os aplicativos os gravam (às vezes eles são desativados).

(2) Similarly, how can we verify the shared-folders usage ?

Não há auditoria (fácil) em si (exceto logs de auditoria ), mas você pode usar Get-SmbConnection para verificar regularmente ( uso aqui ).

How can we track triggers to scheduled-jobs in the Server-A?

Você pode dar uma olhada nas tarefas agendadas (e no histórico delas). Não há nenhuma função 'mostre-me todos os gatilhos remotos que apontam para mim', pois isso seria um pouco complicado.

    
por 10.04.2018 / 11:51
0

Se isso é algo que você precisa fazer regularmente, eu recomendaria uma ferramenta de analisador de rede. Existem vários no mercado. O que eu tenho experiência com é ExtraHop .

Essencialmente, o que essas caixas fazem é que elas ficam na sua rede e elas sugam cada pacote que passa pelos seus switches (você o alimenta com seus switches ou com os toques de seus uplinks). Em seguida, eles fornecem uma visão completa do que acontece na rede para qualquer host em sua rede. (alguns podem fazer coisas mais extravagantes do que isso).

Se algo como um analisador de rede estiver fora do seu orçamento (e será para muitas SMBs), você poderá ativar o NetFlow no seu switch. Para um pequeno hospedeiro, você precisará de uma amostragem razoavelmente regular, mas, essencialmente, se você tiver algo que consome um fireFose do NetFlow, você pode obter relatórios das sessões que o switch vê.

Isso mostrará a visão geral dos fluxos na rede, para que você possa ver que o Host A consumiu 50 Mbps de tráfego para o Host B por período de tempo. (Se você tiver o NetFlow até o fim, poderá até mesmo ver para onde o tráfego foi depois que ele saiu do Host B, se o Host B for um dispositivo que encaminha o tráfego).

Não lhe dará a ideia de que uma ferramenta de análise de rede funcionará, pois essas ferramentas fazem inspeção profunda de pacotes e examinam nomes de usuários, solicitam dados, etc. Mas é um ótimo começo quando você fica cego e não tem ideia do que está acontecendo na rede.

    
por 10.04.2018 / 13:08