Недавно у нас возникла проблема, когда наш сервер начал выдавать 500 ошибок, потому что был заблокирован IP-адрес, который уже был заблокирован в другом месте. Похоже, что IP-адрес ранее был заблокирован на отдельных сайтах, а затем добавлен на сервер. Я хотел бы узнать, как могла возникнуть эта ошибка, но это другой вопрос.
Можно ли найти логи, когда были добавлены эти блоки?
В журналах событий Windows нет записей для такого рода операций.
Однако, если вы используете IIS 7+, и изменения не вносятся в локальные файлы web.config, может быть способ узнать, когда произошло изменение конфигурации.
Откройте 'C: \ inetpub \ history' (вам может потребоваться сделать это как администратор с повышенными правами), там есть куча папок CFGHISTORY_00000xxxxxx.
Каждый раз, когда вы вносите изменения в конфигурацию IIS через графический интерфейс, скрипт или API, здесь сохраняются предыдущие версии файлов конфигурации.
Ограничения IP хранятся в applicationHost.config, вы можете использовать инструмент DIFF для сравнения файлов или вручную просмотреть разделы ipSecurity (обычно в конце файла).
Это может сказать вам, когда было внесено изменение, но не кем. Вы можете проверить журналы событий для пользователя, который вошел на сервер в тот же период времени.
На определенном количестве хранятся наборы изменений, а старые папки истории удаляются автоматически.
РЕДАКТИРОВАТЬ: Если вы хотите сохранить больше записей в истории, используйте:
appcmd.exe set config -section:system.applicationHost/configHistory /maxHistories:"50" /commit:apphost
Дополнительная информация о настройке истории конфигурации на iis.net