Назад | Перейти на главную страницу

Просмотр, когда IP-адрес был заблокирован в IIS

Недавно у нас возникла проблема, когда наш сервер начал выдавать 500 ошибок, потому что был заблокирован IP-адрес, который уже был заблокирован в другом месте. Похоже, что IP-адрес ранее был заблокирован на отдельных сайтах, а затем добавлен на сервер. Я хотел бы узнать, как могла возникнуть эта ошибка, но это другой вопрос.

Можно ли найти логи, когда были добавлены эти блоки?

В журналах событий Windows нет записей для такого рода операций.

Однако, если вы используете IIS 7+, и изменения не вносятся в локальные файлы web.config, может быть способ узнать, когда произошло изменение конфигурации.

Откройте 'C: \ inetpub \ history' (вам может потребоваться сделать это как администратор с повышенными правами), там есть куча папок CFGHISTORY_00000xxxxxx.

Каждый раз, когда вы вносите изменения в конфигурацию IIS через графический интерфейс, скрипт или API, здесь сохраняются предыдущие версии файлов конфигурации.

Ограничения IP хранятся в applicationHost.config, вы можете использовать инструмент DIFF для сравнения файлов или вручную просмотреть разделы ipSecurity (обычно в конце файла).

Это может сказать вам, когда было внесено изменение, но не кем. Вы можете проверить журналы событий для пользователя, который вошел на сервер в тот же период времени.

На определенном количестве хранятся наборы изменений, а старые папки истории удаляются автоматически.

РЕДАКТИРОВАТЬ: Если вы хотите сохранить больше записей в истории, используйте:

appcmd.exe set config -section:system.applicationHost/configHistory /maxHistories:"50" /commit:apphost

Дополнительная информация о настройке истории конфигурации на iis.net