Предположим, что «Сервер-А» — это Windows Server v2008, и он скоро будет физически выведен из эксплуатации.
Предыстория: Нет никаких намеков на то, что кто-то использует сервер-A или нет. Нам нужен список, чтобы связаться с потребляющими клиентами и получить их согласие перед выводом из эксплуатации. Учитывая это, как мы собираем активный инвентарь зависимостей с точки зрения веб-запросов, доступа к папкам, триггеров заданий и т. д.?
(1) Я могу обратиться к журналу IIS, чтобы получить список клиентских запросов, если сервер используется как веб-сервер. Есть ли другой способ дважды проверить веб-запросы и где я могу собрать соответствующие данные, такие как IP, DNS, время последнего запроса и т. д.?
(2) Аналогично, как мы можем проверить использование общих папок? Я имею в виду, есть ли еще клиент/приложение/задание, которые обращаются к общим папкам, созданным на сервере A? Есть ли какая-либо функция аудита?
(3) Как мы можем отслеживать триггеры запланированных заданий на сервере A? Да, журналы заданий могут быть отнесены к делу, есть ли сервер Windows, который позволяет нам получить эти данные?
Буду признателен, если кто-нибудь поделится лучшими практиками для этих сценариев. Спасибо
решение1
Позвольте мне попытаться ответить на ваш вопрос:
1) Не уверен, почему вы спрашиваете об этом, поскольку вы уже знаете, что можете обратиться к журналу IIS, и большая часть запрошенной информации находится там (исходный IP, время последнего запроса). В качестве альтернативы вы можете попробовать использовать Wireshark для захвата номера порта вашей веб-службы, как предлагается в #2.
2) Вы можете попробовать использовать Wireshark для захвата следующих портов, используемых общей папкой Windows (SMB).
TCP: 139,445
UDP: 137,138
Установите программное обеспечение на сервере для захвата трафика. Вы можете получить помощьздесьна фильтре захвата Wireshark.
3) Не уверен, какие подробности вы запрашиваете, но запланированные задания можно найти в планировщике заданий в Windows, дата и время последнего запуска, статус последнего запуска, история и другая информация — все здесь.
Надеюсь, мой ответ поможет :)
решение2
Если это то, что вам нужно делать регулярно, я бы рекомендовал сетевой анализатор. На рынке их несколько. У меня есть опыт работы сЭкстраХоп.
По сути, эти коробки работают в вашей сети и всасывают каждый пакет, который проходит через ваши коммутаторы (вы подаете его через свои коммутаторы или отводите от своих восходящих каналов). Затем они дают вам полный обзор того, что происходит в сети для любого хоста в вашей сети. (некоторые могут делать гораздо более замысловатые вещи, чем это).
Если что-то вроде сетевого анализатора выходит за рамки вашего бюджета (а для многих SMB они будут), вы можете включить NetFlow на вашем коммутаторе. Для небольшого хоста вам понадобится довольно регулярная выборка, но по сути, если у вас есть что-то, потребляющее NetFlow firehose, вы можете получать отчеты о сеансах, которые видит коммутатор.
Это даст вам обзор потоков в сети, так что вы можете увидеть, что хост A потреблял 50 Мбит/с трафика к хосту B в течение определенного периода времени. (Если у вас есть NetFlow на всем протяжении, вы даже можете увидеть, куда пошел трафик после того, как он покинул хост B, если хост B является устройством, которое пересылает трафик).
Он не даст вам той информации, которую может дать инструмент сетевого анализа, поскольку эти инструменты проводят глубокую проверку пакетов и просматривают имена пользователей, данные запросов и т. д. Но это отличное начало, когда вы действуете вслепую и не имеете представления о том, что происходит в сети.
решение3
Есть ли другой способ перепроверить веб-запросы и где я могу собрать соответствующие данные, такие как IP, DNS, время последнего запроса и т. д.?
Логи IIS — это правильное место для поиска. Просто убедитесь, что все приложения их записывают (иногда они отключены).
(2) Аналогично, как мы можем проверить использование общих папок?
Не существует (простого) аудита как такового (за исключениемжурналы аудита), но вы можете использовать Get-SmbConnection
для регулярной проверки (использование здесь).
Как можно отслеживать триггеры запланированных заданий на сервере A?
Вы можете просто посмотреть запланированные задачи (и их историю). Нет функции «показать мне все удаленные триггеры, которые указывают на меня», так как это было бы немного сложно.