如何保护日志服务器安全？

　　比如攻击者通过Web注入方式拿下服务器，这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除，这样就不会让对方管理员起疑心。

　　在命令中执行“CleanIISLog 。 IP”就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范，比如更改了IIS日志的路径，攻击者在确定了日志的路径后，也可以通过该工具进行清除，其操作是，在命令行下执行“CleanIISLog IIS日志路径 IP地址”来清除指定IIS路径的IP记录。

　　二、打造日志服务器保护日志

　　通过上面的演示可以看到，如果将服务器的日志保存在本地是非常不安全的。而且，如果企业中的服务器非常多的话，查看日志会非常麻烦。基于以上考虑，打造专门的日志服务器，即有利于服务器日志的备份又有利用于集中管理。

　　笔者的做法是，搭建一个FTP服务器用来日志的集中和备份，可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单，笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上，日志服务器还可以实现网络设备的日志备份。

　　以路由器为例，首先在其上进行设置，指定记录日志的服务器，最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u，但是笔者觉得IIS的FTP在权限分配上不够方便，而Serv-u有漏洞太多，因此推荐TYPSoft FTP。

　　1、架设日志服务器

　　TYPSoft FTP是绿色软件，下载解压后双击ftpserv.exe文件，启动typsoft fip主程序。启动后，点击主界面菜单中的“设定→用户”，建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录，最后点击“保存”按钮使设置生效，这样日志服务器就架好了。

　　2、日志服务器的指定

　　当搭建好日志服务器后，只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可，同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。

　　正常登录到设备上然后在全局配置模式下输入logging 192.168.1.10，它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入logging trap，它的意思是设置日志服务器接收内容，并启动日志记录。trap后面可以接参数0到7，不同级别对应不同的情况，可以根据实际情况进行选择。如果直接使用logging trap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息，这样在第一时间就能发现问题并解决。日志服务器的IP地址，只要是能在路由交换设备上ping通日志服务器的IP即可，不一定要局限在同一网段内。因为FTP属于TCP/IP协议，它是可以跨越网段的。

　　总结：本文从攻击者的角度解析对Web日志的删除和修改，目的是让大家重视服务器日志的保护。另外，搭建专门的日志服务器不仅可以实现对日志的备份，同时也更利用对日志的集中管理。进一步挖掘日志的服务器的潜能，实现对网络设备相关日志的保存。