Назад | Перейти на главную страницу

Определите, почему были очищены журналы

У нас были проблемы с подключением пользователя через OWA. Этот пользователь раньше был администратором сервера.

После сегодняшней проверки все журналы IIS были удалены до 30 сентября включительно (день, когда были диагностированы проблемы). У нас есть резервная копия, и, конечно же, все пароли на серверах и учетных записях были изменены, и я проверил системные журналы - похоже, нет IP, соответствующего адресу этого конкретного пользователя.

Кажется, что журналы «безопасности» были очищены, но в журнале нет события, что журналы были очищены. Есть также несколько других журналов событий (например, RDP), которые не показывают IP и датируются еще августом. Кажется, что эти журналы на самом деле достигают своего максимального размера в 20 МБ, а затем выполняют некоторую форму logrotate.

Конечно, пытаясь быть настолько хорошим сисадмином, насколько это возможно, я полностью взбесился. Может ли кто-нибудь объяснить мне, возможно ли, что Windows автоматически очищает журналы каждые 3 месяца? Или это можно сделать через Интернет? (у нас есть только OWA / ECP для Exchange 2013).

Я также заметил, что на физическом сервере мало на диске ... Может быть, это причина?

Журналы автоматически очищаются (в зависимости от времени или размера), поскольку дисковое пространство ограничено. Постоянное хранение каждой записи журнала может быстро заполнить даже самый большой из дисков, и каждая операционная система выполняет какую-то обрезку журнала.

Хотя это отвечает на ваш вопрос, это не решает вашу проблему: тот, кто не должен иметь доступ к вашим серверам, явно все еще имеет доступ (по крайней мере, через OWA).
Предлагаю просмотреть Как мне поступить с взломанным сервером? как предлагали другие, и решение, как действовать дальше, на основе полученных там отзывов.
Я также настоятельно рекомендую принудительно сменить пароль для всех пользователей - если этот человек входит в систему как бывший сотрудник, который знает, какие еще теневые биты они могут хранить (может быть, копии всех паролей?).

После этого вы можете начать думать о реальной политике безопасности для своей компании, чтобы в следующий раз, когда вы уволите кого-то, вы можете быть уверены, что весь доступ отменен должным образом ...