Архивация журналов
Файлы журналов могут достигать довольно больших размеров. Процедуры архивирования перемещают файлы на резервный носитель, сохраняя их для будущих нужд и освобождая место для новой информации. Следует регулярно архивировать файлы журналов.
Архивирование файла журнала Windows 2000. Для архивации файла журнала Windows 2000 выполните следующие действия.
- Откройте программу Event Viewer (Просмотр событий) и щелкните правой кнопкой мыши на файле журнала, который нужно заархивировать. Выберите команду Save Log File As (Сохранить файл журнала как).
- В диалоговом окне Save As (Сохранить как) введите путь и имя файла для создаваемого архива. В идеале, необходим ресурс для длительного хранения заархивированных журналов, так как неизвестно, когда хакер произведет атаку. А в этом случае вам придется выяснить, в течение какого времени в системе выполнялись скрытые действия. Подходящим хранилищем является сетевой диск на внутреннем сервере. Не забывайте сохранять архивы в формате .evt (журнал событий), исключая тем самым наличие двоичных данных в записях журналов (чтобы файлы считывались программой Event Viewer).
- После архивации файлов, если не указана необходимость перезаписи событий в свойствах файла журнала, следует очистить журналы в программе Event Viewer (Просмотр событий) и освободить место для новых записей. Для очистки щелкните правой кнопкой мыши на файле журнала и в появившемся меню выберите команду Clear All Events (Удалить все события).
Архивация файла журнала IIS. Архивация файлов журнала IIS может производиться автоматически в зависимости от настройки параметров IIS Extended Logging (Расширенные параметры ведения журнала). Свойства файла журнала IIS можно настроить таким образом, чтобы новый файл журнала с новым именем создавался согласно одной из следующих временных схем:
- через каждый час;
- в конце каждого дня;
- в конце каждой недели;
- в конце каждого месяца;
- по достижении файлом определенного размера;
- никогда (т.е. неограниченный размер файла журнала).
При указанных настройках, за исключением опции Unlimited File Size (Неограниченный размер файла), старый файл журнала будет сохраняться, а взамен него по истечении периода действия будет автоматически создаваться новый файл журнала.
Ниже приведены шаги по архивации файлов журнала IIS.
- Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и щелкните правой кнопкой мыши на веб-сайте, для которого нужно изменить параметры архивации, либо щелкните правой кнопкой мыши на сервере (если требуется изменить параметры глобально для всех сайтов), затем выберите в появившемся меню команду Properties (Свойства).
- На вкладке Web-site (Веб-узел) окна Web Site Properties (Свойства веб-узла) (или окна Master Properties) нажмите на кнопку Properties рядом с полем для выбора формата файла журнала.
- В окне Extended Logging Properties (Расширенные параметры ведения журнала) на вкладке General (Общие) выберите нужный параметр в области Log Time Period (Период ведения журнала). Чуть ниже расположен параметр Use Local Time For File Naming And Rollover (Использовать местное время в именах файлов), который также можно выбрать для использования местного времени при определении окончания ведения журнала. По умолчанию значением данного параметра является 12:00 A.M. (0:00) по Гринвичу.
- В нижней части вкладки General Properties (Общие свойства) укажите новое расположение файлов журнала. Укажите нужную папку (а лучше – сетевой диск, расположенный на другом сервере), после чего нажмите на OK, чтобы закрыть окно и сохранить изменения.
