我们在用户通过OWA连接时遇到了一些问题.该用户曾经是服务器管理员.
今天检查后,所有IIS日志已被删除,包括9月30日(问题被诊断的那天).我们确实有备份,当然服务器和帐户上的所有密码都已更改,我检查了系统日志 – 似乎没有IP匹配该特定用户的地址.
“安全” – 日志似乎已被清除,但没有日志事件已清除日志.还有其他几个事件日志(例如RDP)没有显示IP并且可以追溯到8月.看起来这些日志实际上达到了20MB的最大大小,然后做了某种形式的logrotate.
当然,试图成为一个尽可能好的系统管理员,我是一个完全控制的怪物.任何人都可以向我解释Windows是否可能每3个月自动清除一次日志?或者这可以在网络上完成吗? (我们只有Exchange 2013的OWA / ECP).
我还注意到物理服务器在磁盘上运行不足……这可能是个原因吗?
由于磁盘空间有限,因此会自动清除日志(基于时间或基于大小的旋转).永远保存每个日志条目甚至可以快速填充最大的磁盘,并且每个操作系统都会进行某种日志修剪.
原文链接:https://www.f2er.com/windows/366407.html虽然这可以解决您的问题,但它并不能解决您的问题:显然仍然无法访问您的服务器的人(至少通过OWA).
我建议像其他人建议的那样审查How do I deal with a compromised server?,并根据那里给出的反馈决定如何继续.
我还强烈建议强制所有用户更改密码 – 如果这个人作为前雇员登录,他们知道他们可能会保留哪些其他阴影位(可能是每个人的密码副本?).
之后,您可以开始考虑为您的公司制定真正的安全策略,以便下次解雇某人时,您可以确保所有访问权限都已正确撤销…
