網(wǎng)站日志是管理員分析網(wǎng)站運(yùn)行數(shù)據(jù)和黑客入侵痕跡必不可少的東西。要復(fù)現(xiàn)黑客入侵行為，需要對(duì)黑客的所有請(qǐng)求行為完整記錄日志，尤其是黑客上傳的數(shù)據(jù)。

作為三大WebServer，Apache和Nginx可以記錄GET、POST、UA、Cookie等完整的數(shù)據(jù)日志，但是IIS卻有一個(gè)致命缺陷：不能記錄POST數(shù)據(jù)日志。POST數(shù)據(jù)是非常核心的日志數(shù)據(jù)，例如黑客上傳網(wǎng)頁(yè)木馬、暴力破解網(wǎng)站密碼等，都是發(fā)送的POST數(shù)據(jù)。這就導(dǎo)致復(fù)現(xiàn)黑客入侵行為時(shí)，由于缺少POST核心數(shù)據(jù)，無(wú)法獲知黑客具體的危險(xiǎn)操作內(nèi)容，這無(wú)疑給排查工作帶來(lái)了非常大的阻礙。

要解決這個(gè)問(wèn)題，只依靠IIS肯定是無(wú)法解決的，因?yàn)槲④泬焊�就沒(méi)這個(gè)功能。因此我們需要使用第三方組件來(lái)實(shí)現(xiàn)，慶幸的是，筆者發(fā)現(xiàn)一款軟件可以解決這個(gè)問(wèn)題，這款軟件叫《護(hù)衛(wèi)神.防入侵系統(tǒng)》，是專業(yè)的網(wǎng)站防火墻和服務(wù)器防火墻，主要用于防止黑客入侵，有100多個(gè)防護(hù)模塊，可提供全方位的安全保護(hù)。在其“網(wǎng)站防護(hù)”模塊有一個(gè)子模塊，叫“請(qǐng)求數(shù)據(jù)快照”（如下圖一），可以記錄GET和POST日志數(shù)據(jù)，同時(shí)還會(huì)記錄“請(qǐng)求時(shí)間、客戶端IP、URL地址、User-Agent、Cookie”等對(duì)排查工作有用的數(shù)據(jù)。

（圖一：記錄IIS的POST日志數(shù)據(jù)）

如上圖設(shè)置，只記錄10-999999字節(jié)范圍內(nèi)的POST數(shù)據(jù)，并且保留30天。保存后系統(tǒng)就會(huì)自動(dòng)記錄客戶端請(qǐng)求的POST數(shù)據(jù)了（如下圖二），要排查黑客入侵行為，只需要通過(guò)搜索客戶端IP就可以篩選出所有相關(guān)日志，一目了然查看到黑客的所有操作（如圖三），是不是非常簡(jiǎn)單呢？只需開(kāi)啟一下模塊，就可以完整記錄IIS的POST數(shù)據(jù)日志。

（圖二：記錄的所有POST數(shù)據(jù)日志）

（圖三：詳細(xì)的POST日志）