我们假设“Server-A”是 Windows Server v2008,并且即将物理退役。
背景:没有任何线索表明是否有人在使用服务器 A。我们需要一份列表来联系消费客户,在停用之前征得他们的同意。鉴于此,我们如何收集 Web 请求、文件夹访问、作业触发器等方面的活动依赖清单?
(1) 如果服务器用作 Web 服务器,我可以参考 IIS 日志来获取客户端请求列表,还有其他方法可以仔细检查 Web 请求吗?在哪里可以收集相关详细信息,例如 IP、DNS、上次请求时间等。
(2) 同样,我们如何验证共享文件夹的使用情况?我的意思是,是否有任何客户端/应用程序/作业仍在访问在服务器 A 中创建的共享文件夹?是否存在任何审计功能?
(3) 我们如何跟踪 Server-A 中计划作业的触发器?是的,可以参考作业日志,是否有 Windows 服务器可以让我们知道这些详细信息?
如果有人分享这些场景的最佳实践,我将不胜感激。谢谢
答案1
让我试着回答你的问题:
1) 不确定你为什么问这个问题,因为你已经知道你可以参考 IIS 日志,并且大多数请求的信息都在那里(源 IP、上次请求时间)。或者,你可以尝试使用 Wireshark 捕获你的 Web 服务端口号,如 #2 中建议的那样。2
) 你可以尝试使用 Wireshark 捕获 Windows 共享文件夹 (SMB) 使用的以下端口。TCP
:139,445
UDP:137,138
在服务器中安装软件以捕获流量。你可能会得到帮助这里在 Wireshark 捕获过滤器上。3
) 不确定您要求的详细信息,但可以在 Windows 的任务计划程序中找到计划作业,上次运行日期和时间、上次运行的状态、历史记录和其他信息都在这里。
希望我的回答有所帮助 :)
答案2
如果你需要定期做这件事,我建议你使用网络分析工具。市场上有好几种。我使用过的一种是额外啤酒花。
这些盒子的作用是,它们位于您的网络上,并吸收通过交换机传输的每个数据包(您将其馈送到交换机或上行链路的分接头)。然后,它们会为您提供有关网络上任何主机的网络情况的全面视图。(有些可以做比这更花哨的事情)。
如果网络分析仪之类的东西超出了您的预算(对于许多中小企业来说,它们都是如此),您可以在交换机上启用 NetFlow。对于小型主机,您需要相当定期的采样,但本质上,如果您有东西消耗 NetFlow 流,您可以获得交换机看到的会话报告。
这将告诉您网络上流量的概况,因此您可以看到主机 A 在一段时间内消耗了 50Mbps 的流量到主机 B。(如果您一直使用 NetFlow,您甚至可以看到流量离开主机 B 后去了哪里,前提是主机 B 是转发流量的设备)。
它不会给你网络分析工具那样的洞察力,因为那些工具会进行深度数据包检查并查看用户名、请求数据等。但当你盲目进入并且不知道网络上发生了什么时,这是一个很好的开始。