Анализ, Анализатор LOG-файлов MS IIS 5.X-6.X
Анализ, Анализатор LOG-файлов MS IIS 5.X-6.X
К сожалению, Сервер MS IIS ведет довольно скудную статистику.
Вариантов не так много:
1. Базовый формат W3C;
2. Расширенный формат W3C;
3. Формат MS IIS.
Вопросы:
а) Каким образом можно детализировать ведение статистики и приблизить ее к уровню Apache (IIS в принципе не деталирует например referrers, к примеру, какой поисковый запрос был задан Яндексу и что он вернул, с чем пришел юзер на сервер)?
б) Есть ли программы-анализаторы LOG-ов, позволяющие вести учет и какую-нибудь базенку?
Спасибо!
Вариантов не так много:
1. Базовый формат W3C;
2. Расширенный формат W3C;
3. Формат MS IIS.
Вопросы:
а) Каким образом можно детализировать ведение статистики и приблизить ее к уровню Apache (IIS в принципе не деталирует например referrers, к примеру, какой поисковый запрос был задан Яндексу и что он вернул, с чем пришел юзер на сервер)?
б) Есть ли программы-анализаторы LOG-ов, позволяющие вести учет и какую-нибудь базенку?
Спасибо!
Все, разобрался.
IIS настроил на формирование Логов в формате Extended W3C, пишет всю информацию, включая секретную и особо важную.
В качестве анализатора и генератора отчетов-статистики подключил внешнюю прогу WEBLog Expert Prof 5.1 - генерит по расписанию в HTML и складирует в закрытую зону. Просмотр статистики возможен как локально на сервере, так и извне, паролированно подключившись по HTTPS к секретной зоне.
Класс, удобно.
Вот что по ходу дела заметил:
Держу я FTP-шник на IIS для спец. целей. Закрытый, анонимный доступ запрещен, только паролированный.
1 подключение максимум.
А тут стал анализировать в связи с тем, что логи FTP стали непомерно пухнуть (с чего бы это вдруг думаю, если доступ разрешен только одному спец. человеку с Login/Psw и активности фактически ноль).
И вижу, что периодически из разных стран все время кто-то диким образом долбится.
Позавчера из Польши некий гад (или робот), долбился на закрытый FTP целых 2 часа.
Шел подбор пары Login/Psw. с промежутком между подборами в несколько миллисекунд.
Начал с A (adm, adam, adamson, admin и.т.д.), закончил Z.
Перебрал все возможные людские имена и технические логины - толку естественно ноль - подобрать пару невозможно.
Сервер 2 часа честно отфутболил и ему хоть бы что.
Вчера из Коста-Рики какой-то еще один идиот (или робот) долбился 1,5 часа и в качестве логина для захода на FTP с промежутком в несколько миллисекунд выдавал Administrator, что тоже естественно приводило к посылу на Йух, т.к. такого логина не существует.
Вопрос:
1. Неуж-то DoS атаки? Цель - завалить FTP-шник или парализовать его нормальную работу?
2. Смысл? Ищут возможность использовать взломанный FTP в качестве площадки-жертвы для совершения атак на другие сервера?
IIS настроил на формирование Логов в формате Extended W3C, пишет всю информацию, включая секретную и особо важную.
В качестве анализатора и генератора отчетов-статистики подключил внешнюю прогу WEBLog Expert Prof 5.1 - генерит по расписанию в HTML и складирует в закрытую зону. Просмотр статистики возможен как локально на сервере, так и извне, паролированно подключившись по HTTPS к секретной зоне.
Класс, удобно.
Вот что по ходу дела заметил:
Держу я FTP-шник на IIS для спец. целей. Закрытый, анонимный доступ запрещен, только паролированный.
1 подключение максимум.
А тут стал анализировать в связи с тем, что логи FTP стали непомерно пухнуть (с чего бы это вдруг думаю, если доступ разрешен только одному спец. человеку с Login/Psw и активности фактически ноль).
И вижу, что периодически из разных стран все время кто-то диким образом долбится.
Позавчера из Польши некий гад (или робот), долбился на закрытый FTP целых 2 часа.
Шел подбор пары Login/Psw. с промежутком между подборами в несколько миллисекунд.
Начал с A (adm, adam, adamson, admin и.т.д.), закончил Z.
Перебрал все возможные людские имена и технические логины - толку естественно ноль - подобрать пару невозможно.
Сервер 2 часа честно отфутболил и ему хоть бы что.
Вчера из Коста-Рики какой-то еще один идиот (или робот) долбился 1,5 часа и в качестве логина для захода на FTP с промежутком в несколько миллисекунд выдавал Administrator, что тоже естественно приводило к посылу на Йух, т.к. такого логина не существует.
Вопрос:
1. Неуж-то DoS атаки? Цель - завалить FTP-шник или парализовать его нормальную работу?
2. Смысл? Ищут возможность использовать взломанный FTP в качестве площадки-жертвы для совершения атак на другие сервера?