"Server-A"가 Windows Server v2008이고 곧 물리적으로 폐기될 예정이라고 가정해 보겠습니다.
배경: 누군가가 서버 A를 사용하고 있는지 여부에 대한 단서가 없습니다. 폐기하기 전에 소비 클라이언트에게 연락하여 동의를 얻으려면 목록이 필요합니다. 그렇다면 웹 요청, 폴더 액세스, 작업 트리거 등의 측면에서 활성 종속성 인벤토리를 어떻게 수집합니까?
(1) 서버가 웹 서버로 사용되는 경우 IIS 로그를 참조하여 클라이언트 요청 목록을 가져올 수 있습니다. 웹 요청을 다시 확인할 수 있는 다른 방법이 있고 IP, DNS, 마지막 요청 시간과 같은 관련 세부 정보를 수집할 수 있는 곳이 있습니까? 그래서.
(2) 마찬가지로 공유 폴더 사용량을 어떻게 확인할 수 있습니까? 내 말은, 클라이언트/응용 프로그램/작업 중 하나가 여전히 Server-A에서 생성된 공유 폴더에 액세스하고 있습니까? 감사 기능이 있습니까?
(3) Server-A에서 예약된 작업에 대한 트리거를 어떻게 추적할 수 있습니까? 예 작업 로그를 참조할 수 있습니다. 해당 세부 정보를 제공하는 Windows 서버가 있습니까?
이러한 시나리오에 대한 모범 사례를 공유해 주시면 감사하겠습니다. 감사합니다.
답변1
귀하의 질문에 답변해 보겠습니다.
1) IIS 로그를 참조할 수 있고 요청된 대부분의 정보(소스 IP, 마지막 요청 시간)가 거기에 있다는 것을 이미 알고 있으므로 왜 이것을 묻는지 잘 모르겠습니다. 또는 #2에서 제안한 대로 Wireshark를 사용하여 웹 서비스 포트 번호를 캡처할 수 있습니다.
2) Wireshark를 사용하여 Windows 공유 폴더(SMB)에서 사용되는 다음 포트를 캡처할 수 있습니다.
TCP : 139,445
UDP: 137,138
트래픽을 캡처하려면 서버에 소프트웨어를 설치하십시오. 도움을 받을 수도 있습니다여기Wireshark 캡처 필터에.
3) 어떤 세부 정보를 요청하시는지 잘 모르겠지만 일정 작업은 Windows의 작업 스케줄러에서 찾을 수 있으며 마지막 실행 날짜 및 시간, 마지막 실행 상태, 기록 및 기타 정보가 모두 여기에 있습니다.
제 답변이 도움이 되었으면 좋겠습니다 :)
답변2
이것이 정기적으로 수행되어야 하는 작업이라면 네트워크 분석 도구를 권장합니다. 시장에는 여러 가지가 있습니다. 제가 경험한 바로는엑스트라홉.
기본적으로 이러한 상자가 하는 일은 네트워크에 위치하며 스위치를 통해 이동하는 모든 단일 패킷을 빨아들이는 것입니다(스위치 외부로 공급하거나 업링크 탭을 통해 공급). 그런 다음 네트워크의 모든 호스트에 대해 네트워크에서 진행되는 작업에 대한 철저한 보기를 제공합니다. (일부는 그보다 훨씬 더 멋진 일을 할 수 있습니다).
네트워크 분석기와 같은 제품이 예산을 초과하는 경우(많은 SMB용) 스위치에서 NetFlow를 활성화할 수 있습니다. 소규모 호스트의 경우 상당히 정기적인 샘플링이 필요하지만 기본적으로 NetFlow Firehose를 소비하는 항목이 있는 경우 스위치가 보는 세션에 대한 보고서를 얻을 수 있습니다.
이를 통해 네트워크 흐름의 개요를 알 수 있으므로 호스트 A가 일정 기간 동안 호스트 B에 대해 50Mbps의 트래픽을 소비한 것을 확인할 수 있습니다. (NetFlow가 맨 아래에 있는 경우 호스트 B가 트래픽을 전달하는 장치인 경우 트래픽이 호스트 B를 떠난 후 어디로 갔는지 확인할 수도 있습니다.)
이러한 도구는 심층 패킷 검사를 수행하고 사용자 이름, 요청 데이터 등을 살펴보기 때문에 네트워크 분석 도구가 제공하는 통찰력을 제공하지는 않습니다. 그러나 맹목적으로 진행되고 무슨 일이 일어나고 있는지 전혀 모르는 경우에는 좋은 시작입니다. 네트워크에 있습니다.
답변3
웹 요청을 다시 확인하고 IP, DNS, 마지막 요청 시간 등과 같은 관련 세부 정보를 수집할 수 있는 다른 방법이 있습니까?
IIS 로그는 이를 찾기 위한 올바른 위치입니다. 모든 응용 프로그램이 이를 기록하는지 확인하십시오(때로는 비활성화되어 있음).
(2) 마찬가지로 공유 폴더 사용량을 어떻게 확인할 수 있습니까?
(쉬운) 감사 자체는 없습니다.감사 로그), 정기적으로 확인하는 데 사용할 수 있습니다 Get-SmbConnection
(여기서 사용법).
Server-A에서 예약된 작업에 대한 트리거를 어떻게 추적할 수 있습니까?
예약된 작업(및 해당 기록)을 살펴볼 수 있습니다. 약간 복잡하기 때문에 '나를 가리키는 모든 원격 트리거 표시' 기능은 없습니다.