Просмотр, когда IP-адрес был заблокирован в IIS

Question

Просмотр, когда IP-адрес был заблокирован в IIS

Недавно у нас возникла проблема, когда наш сервер начал выдавать 500 ошибок, поскольку заблокирован IP-адрес, который уже был заблокирован в другом месте. Похоже, что IP-адрес был ранее заблокирован на отдельных сайтах, а затем был добавлен на сервер. Я хотел бы узнать, как эта ошибка могла быть вызвана, но это другой вопрос.

Можно ли найти логи, когда эти блоки были добавлены?

1

logging iis-7 ip-blocking

Источник

Codeacula 08 май '13 в 15:46

1 ответ

Решение

Другие вопросы по тегам logging iis-7 ip-blocking

Peter Hahndorf 09 май '13 в 13:29 2013-05-09 13:29 · Accepted Answer · 2013-05-09 13:29

В журналах событий Windows нет записей журнала для операций такого типа.

Однако, если вы используете IIS 7+, а изменения не вносятся в локальные файлы web.config, может быть способ узнать, когда произошло изменение конфигурации.

Откройте "C:\inetpub\history" (вам может потребоваться сделать это как администратор с повышенными правами), есть несколько папок CFGHISTORY_00000xxxxxx.

Каждый раз, когда вы вносите изменения в конфигурацию IIS через графический интерфейс, скрипт или API, предыдущая версия файлов конфигурации сохраняется здесь.

IP-ограничения хранятся в applicationHost.config, вы можете использовать инструмент DIFF для сравнения файлов или вручную просмотреть разделы "ipSecurity" (обычно в конце файла).

Это может сказать вам, когда изменение было сделано, но не кем. Вы можете проверить журналы событий для пользователя, который вошел в систему на сервере в тот же период времени.

На определенном количестве наборов изменений сохраняются и старые папки истории удаляются автоматически.

РЕДАКТИРОВАТЬ: Если вы хотите сохранить больше записей истории, используйте:

appcmd.exe set config -section:system.applicationHost/configHistory /maxHistories:"50" /commit:apphost

Больше информации о настройке истории конфигурации на iis.net