比如攻擊者通過Web注入方式拿下服務器，這樣他的入侵痕跡(IP地址)都留在了IIS日志里。他們利用該工具只把其在IIS日志中的IP地址進行清除，這樣就不會讓對方管理員起疑心。

　　在命令中執行“CleanIISLog 。 IP”就可以清除IIS日志中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防范，比如更改了IIS日志的路徑，攻擊者在確定了日志的路徑后，也可以通過該工具進行清除，其操作是，在命令行下執行“CleanIISLog IIS日志路徑 IP地址”來清除指定IIS路徑的IP記錄。

　　二、打造日志服務器保護日志

　　通過上面的演示可以看到，如果將服務器的日志保存在本地是非常不安全的。而且，如果企業中的服務器非常多的話，查看日志會非常麻煩。基于以上考慮，打造專門的日志服務器，即有利于服務器日志的備份又有利用于集中管理。

　　筆者的做法是，搭建一個FTP服務器用來日志的集中和備份，可以在服務器中通過專門的工具或者計劃任務來實現日志的自動上傳備份。這部分內容比較簡單，筆者就不演示了。其實不僅可以將服務器日志備份到專門的日志服務器上，日志服務器還可以實現網絡設備的日志備份。

　　以路由器為例，首先在其上進行設置，指定記錄日志的服務器，最后通過FTP協議將日志數據傳輸到FTP服務器上。搭建FTP服務器可以利用IIS的FTP或者Serv-u，但是筆者覺得IIS的FTP在權限分配上不夠方便，而Serv-u有漏洞太多，因此推薦TYPSoft FTP。

　　1、架設日志服務器

　　TYPSoft FTP是綠色軟件，下載解壓后雙擊ftpserv.exe文件，啟動typsoft fip主程序。啟動后，點擊主界面菜單中的“設定→用戶”，建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日志保存的目錄，最后點擊“保存”按鈕使設置生效，這樣日志服務器就架好了。

　　2、日志服務器的指定

　　當搭建好日志服務器后，只需要到相應的網絡設置中通過SYSLOG或LOG命令指定要保存日志的服務器地址即可，同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日志服務器為例。

　　正常登錄到設備上然后在全局配置模式下輸入logging 192.168.1.10，它的意思是在路由器上指定日志服務器地址為192.168.1.10。接著輸入logging trap，它的意思是設置日志服務器接收內容，并啟動日志記錄。trap后面可以接參數0到7，不同級別對應不同的情況，可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日志。配置完畢后路由交換設備可以發送日志信息，這樣在第一時間就能發現問題并解決。日志服務器的IP地址，只要是能在路由交換設備上ping通日志服務器的IP即可，不一定要局限在同一網段內。因為FTP屬于TCP/IP協議，它是可以跨越網段的。

　　總結：本文從攻擊者的角度解析對Web日志的刪除和修改，目的是讓大家重視服務器日志的保護。另外，搭建專門的日志服務器不僅可以實現對日志的備份，同時也更利用對日志的集中管理。進一步挖掘日志的服務器的潛能，實現對網絡設備相關日志的保存。