IIS 日志记录量

IIS 日志记录量

对于流量很大的网站,有什么理由继续记录日志?原始日志中有什么有价值的数据。

我们今天确实保留了日志以“以防万一”,有人可以回答“以防万一什么?”

答案1

尝试将日志保留至少半周。您可以使用 OSSEC 等工具实时分析日志,并仅存储与安全相关的内容(多个 400、500 错误代码、扫描等)。

请查看此文档,了解有关保存这些日志的安全价值的一些想法:

http://www.infosecwriters.com/texts.php?op=display&id=453

答案2

您希望保留日志,但可能需要汇总。我使用模拟生成存档的每周和每月报告。一些 404 的历史比较已导致修复对我的网站的破坏性更改。

我保留了几个月的 IIS 日志,但我拥有多年来从这些日志中生成的每月模拟报告。

我的日志 + 报告的总大小很小 - 不到 50 MB。

答案3

假设您在其他地方跟踪流量,我建议您最重要的用途是回溯在纯流量监视器中可能不容易发现的异常活动。例如,来自一个 IP 的登录页面的大量请求,或 /admin、/administration、/config 等的大量 404 错误。

答案4

在某些情况下,日志确实很有用。持续发生的情况是趋势报告,可以显示页面浏览量或流量增长或引荐来源流量(哪个搜索引擎向您发送流量)。如果您的日志文件非常大,则经常处理这些文件并仅保留报告工具保留的摘要会很有用。

另一个有用的功能是历史数据,如果您需要查找的话。如果您遭遇了 SQL 注入攻击、任何其他类型的攻击,甚至是 DDOS,并且想要追踪攻击的开始时间以及僵尸计算机是否来自某个区域,那么历史数据就非常有用。在这些情况下,您会非常庆幸自己保留了日志。

此外,如果您有 PCI 或其他合规性要求,则可能需要保留一定量的日志数据。

您可以关闭某些文件夹的日志记录。例如,如果您有负载平衡器或监控软件,则可以关闭它所测试的文件夹的日志记录。您还可以关闭 \images 文件夹或其他可能有大量流量但不需要记录的文件夹。

相关内容