iis默认存放路径:
windows server 2003 iis日志路径 c:\windows\system32\logfiles
windows server 2008 iis日志路径:c:\inetpub\logs\logfiles
iis日志分析常规思路:
请求方式:get、post
状态码:2xx正常,3xx重定向,4xx客户端请求错误,5xx服务器错误
sql语句注入:and 1=2,union,select,order by,where
后台页面关键字:admin,login,manager
webshell:防护软件扫描出的可疑文件
windows日志路径:c:\windows\system32\winevt\logs
必看的日志;security.eytx ,system.evtx ,application.evtx
本地事件id:4624-登陆成功,4625-登陆失败,4634、4647-注销成功,4672-超级用户登录,4616-修改时间的各项参数,1-修改时间的用户名原始时间等,1100-关闭日志