Отслеживание использования Windows Server
Предположим, что «Server-A» - это Windows Server v2008, который скоро будет физически выведен из эксплуатации.
Предыстория: нет никаких сведений о том, использует ли кто-либо сервер-A или нет. Нам нужен список, чтобы связаться с потребителями-клиентами, чтобы получить их согласие перед выводом из эксплуатации. Учитывая это, как мы собираем активную инвентаризацию зависимостей с точки зрения веб-запросов, обращений к папкам, триггеров заданий и т. Д.?
(1) Я могу сослаться на журнал IIS, чтобы получить список клиентских запросов, если сервер используется в качестве веб-сервера. Есть ли другой способ дважды проверить веб-запросы и где я могу собрать соответствующие данные, такие как IP, DNS, Время последнего запроса и так.
(2) Аналогичным образом, как мы можем проверить использование общих папок? Я имею в виду, имеет ли какой-либо клиент / приложение / задание доступ к общим папкам, созданным на сервере-A? Существует ли какая-либо функция аудита?
(3) Как мы можем отслеживать триггеры для запланированных заданий на сервере-A? Да, можно сослаться на журналы заданий. Есть ли сервер Windows, который позволяет нам эту информацию?
Будем признательны, если кто-нибудь поделится передовым опытом для этих сценариев. Спасибо
Позвольте мне попытаться ответить на ваш вопрос:
1) Не уверен, почему вы спрашиваете об этом, поскольку вы уже знаете, что можете ссылаться на журнал IIS, и большая часть запрошенной информации там (исходный IP, время последнего запроса). В качестве альтернативы вы можете попробовать использовать Wireshark для захвата номера порта веб-службы, как предлагается в пункте 2.
2) Вы можете попробовать использовать Wireshark для захвата следующих портов, используемых общей папкой Windows (SMB).
TCP: 139 445
UDP: 137 138
Установите программное обеспечение на сервер для захвата трафика.
Вы можете получить помощь здесь по фильтру захвата Wireshark.
3) Не уверен, какие подробности вы запрашиваете, но задания расписания можно найти в Планировщике заданий в Windows, дату и время последнего запуска, статус последнего запуска, историю и другую информацию.
Надеюсь, мой ответ поможет: )
Если это необходимо делать регулярно, я бы порекомендовал инструмент для анализа сети. Их несколько на рынке. Один из них ExtraHop.
По сути, эти коробки сидят в вашей сети и всасывают каждый пакет, который проходит через ваши коммутаторы (вы подаете его в сеть через ваши коммутаторы, или через ответвители восходящих линий). Затем они дают вам полное представление о том, что происходит в сети для любого узла вашей сети. (некоторые могут делать намного более причудливые вещи, чем это).
Если что-то вроде сетевого анализатора выходит за рамки вашего бюджета (и они будут для большого количества SMB), вы можете включить NetFlow на вашем коммутаторе. Для небольшого хоста вам понадобится довольно регулярная выборка, но по сути, если у вас есть что-то, потребляющее огонь NetFlow, вы можете получить отчеты о сеансах, которые видит коммутатор.
Это покажет вам обзор потоков в сети, так что вы сможете увидеть, что хост A потреблял 50 Мбит/с трафика на хост B в течение определенного периода времени. (Если у вас NetFlow на всем пути вниз, вы даже сможете увидеть, куда трафик шел после того, как он покинул Host B, если Host B является устройством, которое пересылает трафик)
Это не даст вам представления о том, что инструмент сетевого анализа будет, так как эти инструменты проводят глубокую проверку пакетов и просматривают имена пользователей, данные запросов и т.д. Но это отличное начало, когда вы идете вслепую и понятия не имеете, что происходит в сети
.Есть ли другой способ двойной проверки Web-запросов и где я могу собрать соответствующие детали, такие как IP, DNS, Последний запрос и т.д.
Журналы IIS - это правильное место для поиска. Просто убедитесь, что все приложения пишут их (иногда они отключены).
(2) Аналогично, как мы можем проверить использование общих папок ?
Нет (простого) аудита (кроме аудиторских логов), но вы можете использовать Get-SmbConnection для регулярной проверки (использования здесь).
Как мы можем отследить триггеры до заданий по расписанию в Server-A?
Вы можете просто взглянуть на запланированные задачи (и их историю). Нет никакой функции "показать мне все удаленные триггеры, которые указывают на меня", так как это было бы немного сложно
.