是否有一个日志文件,其中包含用户在 IIS 7 内部执行的操作,例如关闭应用程序、清理应用程序池、重新启动服务器?
答案1
那么您需要启用 IIS 配置审核。
1) 导航到安装了 Internet 信息服务 (IIS) 的目标服务器。
2)启动事件查看器(单击开始/运行,输入 eventvwr.msc 并按 Enter)
3) 导航到以下节点:事件查看器/应用程序和服务日志/Microsoft/Windows/IIS 配置
4) 右键单击操作日志并选择属性。
5) 选中启用日志记录复选框,指定最大日志大小选项为 299968 Kb,选择根据需要覆盖事件选项,然后单击确定。
我个人也会使用Netwrix 审计员让信息更易读,而不是疯狂地阅读所有这些事件。更多信息请点击此处https://www.netwrix.com/kb/1720