我们在通过OWA连接用户时遇到了一些问题。 这个用户曾经是一个服务器pipe理员。
在今天检查之后,所有的IIS日志都被删除,直到9月30日(问题被诊断的那一天)。 我们有一个备份,当然所有的服务器和帐户的密码已经改变,我已经检查了系统日志 – 似乎没有一个IP匹配该特定用户的地址。
“安全”日志似乎已被清除,但没有logging事件已清除日志。 还有其他几个事件日志(如RDP)没有显示IP,并可以追溯到八月份。 看来这些日志实际上正在达到20MB的最大大小,然后做一些forms的logrotate。
当然,试图成为一名优秀的系统pipe理员,我是一个完全控制的人。 任何人都可以向我解释是否有可能每三个月自动清除日志? 或者可以这样做基于web? (我们只有Exchange 2013的OWA / ECP)。
我也注意到物理服务器在磁盘上运行不正常?这可能是一个原因吗?
日志会自动清除(基于时间或基于大小的轮换),因为磁盘空间是有限的。 永久保存每个日志条目将快速填充最大的磁盘,并且每个操作系统都会进行某种日志修剪。
虽然这可以解决您的问题,但它并不能解决您的问题:有人不能清楚地访问您的服务器(至less通过OWA)。
我build议查看我如何处理一个被入侵的服务器? 正如其他人所build议的那样,并根据那里给出的反馈决定如何进行。
我还强烈build议强制所有用户更改密码 – 如果此人以前员工的身份login到其他员工,他们知道他们可能保留的其他隐藏位(每个人的密码的副本,可能吗?)。
之后,您可以开始考虑为您的公司制定真正的安全策略,以便下次您启动某个人时,您可以确保所有访问权限已被正确撤销。