我们在用户通过 OWA 连接时遇到了一些问题。此用户曾经是服务器管理员。
今天检查后发现,截至 9 月 30 日(问题诊断当天)的所有 IIS 日志都已删除。我们确实有备份,当然,服务器和帐户上的所有密码都已更改,而且我检查了系统日志 - 似乎没有与该特定用户地址匹配的 IP。
“安全”日志似乎已被清除,但没有日志事件表明日志已被清除。还有其他几个事件日志(例如 RDP)未显示 IP,并且可追溯到 8 月份。似乎这些日志实际上已达到其最大大小 20MB,然后进行某种形式的日志轮换。
当然,为了成为尽可能优秀的系统管理员,我完全是个控制狂。有人能向我解释一下 Windows 是否有可能每 3 个月自动清除一次日志吗?或者这可以通过 Web 完成吗?(我们只有适用于 Exchange 2013 的 OWA/ECP)。
我还注意到物理服务器的磁盘空间不足...这可能是原因吗?
答案1
由于磁盘空间有限,日志会自动清除(根据时间或大小循环清除)。永久保存每条日志条目会很快填满最大的磁盘,而且每个操作系统都会进行某种日志修剪。
虽然这回答了你的问题,但并没有解决你的问题:不应该访问你服务器的人显然仍然有权访问你的服务器(至少通过 OWA)。
我建议查看我该如何处理受到感染的服务器?正如其他人所建议的那样,并根据那里给出的反馈决定如何进行。
我还强烈建议强制所有用户更改密码 - 如果此人以前雇员的身份登录,谁知道他们可能保留了哪些其他可疑信息(可能是每个人密码的副本?)。
之后,您可以开始考虑为您的公司制定真正的安全策略,以便下次您解雇某人时,您可以确保所有访问权限都被正确撤销......