Vamos supor que o "Servidor-A" seja um Windows Server v2008 e que será desativado fisicamente em breve.
Antecedentes: Não há nenhuma pista se alguém está usando o servidor-A ou não. Precisamos de uma lista para chegar aos clientes consumidores e obter seu consentimento antes do encerramento. Dado isso, como coletamos o inventário de dependência ativa em termos de solicitações da Web, acessos a pastas, gatilhos de trabalho, etc.?
(1) Posso consultar o log do IIS para obter uma lista de solicitações de clientes se o servidor for usado como servidor Web. Existe alguma outra maneira de verificar as solicitações da Web e onde posso coletar detalhes relevantes como IP, DNS, horário da última solicitação e assim.
(2) Da mesma forma, como podemos verificar o uso de pastas compartilhadas? Quero dizer, algum cliente/aplicativo/trabalho ainda está acessando as pastas compartilhadas criadas no Servidor-A? Existe algum recurso de auditoria?
(3) Como podemos rastrear os gatilhos para trabalhos agendados no Servidor-A? Sim, os logs de trabalho podem ser consultados. Existe um servidor Windows que nos permite esses detalhes?
Agradecemos se alguém compartilhar as melhores práticas para esses cenários. Obrigado
Responder1
Deixe-me tentar responder à sua pergunta:
1) Não sei por que você está perguntando isso, pois você já sabe que pode consultar o log do IIS e a maioria das informações solicitadas está lá (IP de origem, horário da última solicitação). Como alternativa, você pode tentar usar o Wireshark para capturar o número da porta do seu serviço da web, conforme sugerido no item 2.
2) Você pode tentar usar o Wireshark para capturar as seguintes portas usadas pela pasta de compartilhamento do Windows (SMB).
TCP: 139.445
UDP: 137.138
Instale o software no servidor para capturar o tráfego. Você pode obter ajudaaquino filtro de captura Wireshark.
3) Não tenho certeza de quais detalhes você está solicitando, mas os trabalhos agendados podem ser encontrados no Agendador de Tarefas do Windows, a data e hora da última execução, o status da última execução, o histórico e outras informações estão todos aqui.
Espero que minha resposta ajude :)
Responder2
Se isso é algo que você precisa fazer regularmente, eu recomendaria uma ferramenta de análise de rede. Existem vários no mercado. Aquele com quem tenho experiência éExtraHop.
Essencialmente, o que essas caixas fazem é ficar na sua rede e sugar cada pacote que trafega pelos seus switches (você os alimenta através dos seus switches ou dos seus uplinks). Em seguida, eles fornecem uma visão completa do que acontece na rede de qualquer host da rede. (alguns podem fazer coisas muito mais sofisticadas do que isso).
Se algo como um analisador de rede estiver fora do seu orçamento (e estará para muitas pequenas e médias empresas), você poderá ativar o NetFlow no seu switch. Para um host pequeno, você precisará de amostragem bastante regular, mas essencialmente, se tiver algo consumindo uma mangueira de incêndio NetFlow, poderá obter relatórios das sessões que o switch vê.
Isso lhe dará uma visão geral dos fluxos na rede, para que você possa ver que o Host A consumiu 50 Mbps de tráfego para o Host B durante um período de tempo. (Se você tiver o NetFlow totalmente desativado, poderá até ver para onde foi o tráfego depois de sair do Host B, se o Host B for um dispositivo que encaminha o tráfego).
Isso não lhe dará o insight que uma ferramenta de análise de rede oferece, pois essas ferramentas fazem inspeção profunda de pacotes e analisam nomes de usuários, solicitam dados, etc. Mas é um ótimo começo quando você está cego e não tem ideia do que está acontecendo na rede.
Responder3
Existe alguma outra maneira de verificar as solicitações da Web e onde posso coletar detalhes relevantes como IP, DNS, horário da última solicitação e assim por diante.
Os logs do IIS são o local correto para procurar isso. Apenas certifique-se de que todos os aplicativos os escrevam (às vezes eles estão desabilitados).
(2) Da mesma forma, como podemos verificar o uso de pastas compartilhadas?
Não existe auditoria (fácil) em si (excetoregistros de auditoria), mas você pode usar Get-SmbConnectionpara verificar regularmente (uso aqui).
Como podemos rastrear gatilhos para trabalhos agendados no Servidor-A?
Você pode simplesmente dar uma olhada nas tarefas agendadas (e seu histórico). Não existe a função 'mostre-me todos os gatilhos remotos que apontam para mim', pois isso seria um pouco complicado.