Supongamos que el "Servidor-A" es un Windows Server v2008 y que pronto será dado de baja físicamente.
Antecedentes: no hay ninguna pista de que alguien esté usando el servidor A o no. Necesitamos una lista para llegar a los clientes consumidores y obtener su consentimiento antes del desmantelamiento. Teniendo en cuenta esto, ¿cómo recopilamos el inventario de dependencias activas en términos de solicitudes web, accesos a carpetas, activadores de trabajos, etc.?
(1) Puedo consultar el registro de IIS para obtener una lista de solicitudes de clientes si el servidor se utiliza como servidor web. ¿Existe alguna otra forma de verificar las solicitudes web y dónde puedo recopilar detalles relevantes como IP, DNS y hora de la última solicitud? y entonces.
(2) De manera similar, ¿cómo podemos verificar el uso de las carpetas compartidas? Quiero decir, ¿alguno de los clientes/aplicaciones/trabajos todavía accede a las carpetas compartidas que se crearon en el Servidor A? ¿Existe alguna función de auditoría?
(3) ¿Cómo podemos rastrear los desencadenantes de trabajos programados en el Servidor A? Sí, se pueden consultar los registros de trabajos. ¿Existe un servidor de Windows que nos permita esos detalles?
Agradecería que alguien compartiera las mejores prácticas para estos escenarios. Gracias
Respuesta1
Permítame intentar responder su pregunta:
1) No estoy seguro de por qué pregunta esto, ya que ya sabe que puede consultar el registro de IIS y la mayor parte de la información solicitada está allí (IP de origen, hora de la última solicitud). Alternativamente, puede intentar usar Wireshark para capturar el número de puerto de su servicio web como se sugiere en el punto 2.
2) Puede intentar utilizar Wireshark para capturar los siguientes puertos utilizados por la carpeta compartida de Windows (SMB).
TCP: 139.445
UDP: 137.138
Instale el software en el servidor para capturar el tráfico. Podrías obtener ayudaaquíen el filtro de captura Wireshark.
3) No estoy seguro de qué detalles está solicitando, pero los trabajos programados se pueden encontrar en el Programador de tareas en Windows, la fecha y hora de la última ejecución, el estado de la última ejecución, el historial y otra información están todos aquí.
Espero que mi respuesta ayude :)
Respuesta2
Si esto es algo que necesita hacer con regularidad, le recomendaría una herramienta de análisis de red. Hay varios en el mercado. Con el que tengo experiencia essalto extra.
Básicamente, lo que hacen estas cajas es ubicarse en su red y absorber cada paquete que viaja a través de sus conmutadores (lo alimenta desde sus conmutadores o toma sus enlaces ascendentes). Luego le brindan una visión completa de lo que sucede en la red para cualquier host de su red. (algunos pueden hacer cosas mucho más sofisticadas que eso).
Si algo como un analizador de red está fuera de su presupuesto (y lo estará para muchas PYMES), puede habilitar NetFlow en su conmutador. Para un host pequeño, necesitará un muestreo bastante regular, pero esencialmente si tiene algo que consume una manguera contra incendios NetFlow, puede obtener informes de las sesiones que ve el conmutador.
Esto le brindará una descripción general de los flujos en la red, para que pueda ver que el Host A consumió 50 Mbps de tráfico al Host B durante un período de tiempo. (Si tiene NetFlow completamente inactivo, incluso puede ver a dónde fue el tráfico después de salir del Host B, si el Host B es un dispositivo que reenvía tráfico).
No le brindará la información que brindará una herramienta de análisis de red, ya que esas herramientas realizan una inspección profunda de los paquetes y analizan los nombres de usuario, solicitan datos, etc. Pero es un gran comienzo cuando vas a ciegas y no tienes idea de lo que está pasando. en la red.
Respuesta3
¿Existe alguna otra forma de verificar las solicitudes web y dónde puedo recopilar detalles relevantes como IP, DNS, hora de la última solicitud, etc.?
Los registros de IIS son el lugar correcto para buscar esto. Solo asegúrese de que todas las aplicaciones las escriban (a veces están deshabilitadas).
(2) De manera similar, ¿cómo podemos verificar el uso de las carpetas compartidas?
No existe una auditoría (fácil) en sí misma (exceptoregistros de auditoría), pero puedes utilizarlo Get-SmbConnectionpara comprobarlo periódicamente (uso aquí).
¿Cómo podemos rastrear los desencadenantes de trabajos programados en el Servidor A?
Puedes simplemente echar un vistazo a las tareas programadas (y su historial). No existe la función "muéstrame todos los disparadores remotos que me señalan", ya que sería un poco complicado.