IIS Log anschalten
Wie schaltet man die Log Funktion eines IIS-Webservers ein?
Jeder Webserver schreibt die Zugriffe auf eine Webseite in einer kleinen Log-Datei mit.
Man findet die Log-Funktion im IIS unter der Webseite in
IIS:Protokollierung
Nach einer Installation des IIS ist die Protokollierung nicht unbedingt aktiv. Man sollte die Einstellungen manuell vornehmen und prüfen.
IIS=Internetinformationserver
Betrifft: IIS Internet Information Server auf dem Microsoft Windows Server 2008/2012
Die Protokollierung findet man, wenn man unter Sites auf eine Webseite klickt.
Übergeordnet befindet sich für den gesamten Server ebenfalls eine Protokollierung als Default. Diese findet man wenn man auf den Hauptknoten im IIS-Manager klickt.
Die IIS Log-Dateien sind im Standard unter dem Verzeichnis:
%SystemDrive%\inetpub\logs\Logfiles
Protokolldateien anzeigen
Die Protokoll-Dateien werden meistens in einem Unterverzeichnis wie
W3SVC1 gespeichert.
Eine Logdatei kann man ganz einfach mit dem Editor öffnen.
Die Datei ist eine einfache Text-Datei
Auszug aus einer
einfachen Log-Datei
Wichtig: die Zeile mit Fields definiert, welche Einträge folgend als Log-Zeilen zu finden sind.
#Software: Microsoft Internet Information Services 10.0
#Version: 1.0
#Date: 2016-10-05 06:38:03
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-10-05 06:38:03 127.0.0.1 GET / url=https%3A%2F%2Fwww.deskmodder.de%2Fwiki%2Findex.php%2FHerunterfahren_Windows_10_Tipps_Tricks_auch_zum_Ruhezustand_Verlinkungen_und_mehr 80 - 127.0.0.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/53.0.2785.143+Safari/537.36 - 200 0 0 379
|
IIS Protokoll Dateien des
angegriffenen IIS Servers
Text-Auszug einer IIS Logdatei mit Spider, Roboter und DDoS Einträgen
#Software: Microsoft Internet Information Services 8.5
#Version: 1.0
#Date: 2016-10-13 02:37:54
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-10-13 02:37:54 85.214.222.176 GET /Default d=788&l=0&v=d&s=Magripol 80 - 180.76.15.20 Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html) - 500 19 3 265
2016-10-13 05:31:50 85.214.222.176 GET /robots.txt - 80 - 138.201.59.34 Mozilla/5.0+(compatible;+SEOkicks-Robot;++http://www.seokicks.de/robot.html) - 500 19 3 15
2016-10-13 05:31:52 85.214.222.176 GET / - 80 - 138.201.59.34 Mozilla/5.0+(compatible;+SEOkicks-Robot;++http://www.seokicks.de/robot.html) - 500 19 3 15
Wordpress-DDoS
016-10-13 16:14:33 W3SVC8 GET / - 80 - 217.12.197.12 HTTP/1.0 WordPress/4.1;+http://www.rusanov.org.ua;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 199 24921
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 104.155.223.47 HTTP/1.0 WordPress/4.4.5;+http://blogkr.timeit.io;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 199 25015
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 23.101.28.13 HTTP/1.0 WordPress/4.5.4;+http://23.101.28.13;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25013
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 54.86.95.43 HTTP/1.0 WordPress/4.4.5;+http://info.guvera.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 198 24968
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 23.101.28.13 HTTP/1.0 WordPress/4.5.4;+http://23.101.28.13;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25000
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 52.74.104.113 HTTP/1.0 WordPress/4.2.2;+http://blog.treebohotels.com;+verifying+pingback+from+127.0.0.1 - - microsoft-programmierer.de 196 25062
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 13.73.206.10 HTTP/1.0 WordPress/4.5.4;+http://13.73.206.10;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25046
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 164.132.106.157 HTTP/1.0 WordPress/4.5.4;+http://vps285834.ovh.net;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 200 25015
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 178.162.221.140 HTTP/1.0 WordPress/4.5.4;+http://slave.ambprime.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 201 25016
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 163.44.2.219 HTTP/1.0 WordPress/4.5;+http://163.44.2.219;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 193 25138
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 80.169.132.55 HTTP/1.0 WordPress/3.7.12;+http://www.triton-global.com;+verifying+pingback+from+191.96.249.75 - - microsoft-
..
|
Felder einstellen
Die Felder, welche der IIS protokollieren soll, kann man pro Webseite selbst einstellen im Dialog:
Webseite->Protokollierung->Felder auswählen..
Empfehlenswert sollte sein, Datum+Zeit, ClientIP-Server-IP, URI Stamm+Uri-Abfrage,Benutzer-Agent cs(User-Agent)
Häufigkeit: Täglich oder Stündlich
Um einen Angriff auszuwerten, empfiehlt es sich in der kritischen Zeit wirklich für jede Stunde eine einzelne Datei zu erstellen.
Im Standard ist täglich eingestellt und ausreichend.
Einstellung ETW Ereignis
In Windows Server 2012 R2 und höher haben Sie zusätzlich die Option, die Protokollinformationen als Ereignis in der Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW) festzuhalten.
Weitere Informationen zu ETW finden Sie unter Ereignisablaufverfolgung.
Am Besten stellt man beide Ereignisse ein.
