SharedIT | 묻고 답하기(AMP)

iis 로그 파일 용량이 갑자기 증가하는 이유는 뭔가요?

안녕하세요
서버 운영 중에 궁금한 사항이 있어 문의 드립니다. 

iis를 현재 3중화하고 사용 중입니다. 
특이사항으로 1번 서버가 느려 확인해보니..디스크 사용량이 엄청 높았습니다. 

좀 더 보니....iis 로그의 용량이 평소에 시간당 2M인데..현재 210M가 쌓여 있습니다. 

1번 서버로 connection이 많이 몰려있는데..fin_wati_connection이 많다고 하더라구요..

왜 갑자기 로그 용량이 많아졌는지 궁금합니다. ㅠㅜ

미리 감사합니다
Tags : 태그가 없습니다.

6개의 답변이 있습니다.

프로필로
  0 추천 | 5년 이상 전
일반적으로는 다량의 접속(brudeforce 공격 포함)으로 인해 발생을 했을 가능성이 있습니다.

3중화라고 하시고 1번서버라고 하시는 것으로 봐서는 로드밸런싱 환경이신듯한데
(환경: 로드밸런서 -> 서버1/서버2/서버3 )

이런 경우 특정 서버로만 연결이 몰리는 경우라면 대부분 특정IP에서 접속이 많아서 일것입니다.

대부분의 사무실이 그렇듯 1개의 공인 IP를 사용하는 NAT 환경이기에 구체적인 부분은 접속하는 URL 를 확인하시고
용도를 추정해 보셔야겠지만, 대계는 스팟성으로 몰리는 연결일 가능성이 큽니다.
한그루
  0 추천 | 5년 이상 전
예전에 동일한 이슈를 격었었는데 너무 오래전이라 도무지 기억이 안나요. ㅠㅠ 
백신도 의심해 보시고, access log 에서 어떤 IP에서 접속 시도가 많은지도 확인해 보세요. 
힘들게 해결 했지만 의외로 간단했던 기억인데 생각이 나질 않아요. ㅠㅠ
그저멍하니
  0 추천 | 5년 이상 전
IIS 로그는 발생되는게 쌓이는것이니
어떤게 발생하나 봐야할텐데요

The network connection was aborted by the local system.

위 에러를 기준으로 찾아보셔야 할텐데... 
유지보수업체가 있다면 도움을 구해보시는게 어떠실련지?
yschoinet
  0 추천 | 5년 이상 전
답변 감사합니다. 
iis 로그를 보니 아래와 같이 네트워크 관련 에러코드가 많네요..;;;
iis restart를 한번 해보려고 합니다 .

ERROR_CONNECTION_ABORTED

1236 (0x4D4)

The network connection was aborted by the local system.

hj8581
  0 추천 | 5년 이상 전
보안로그 열어보세요
로그인 fail 이 빠르게 올라오고 있는거면 공격받고 있는겁니다.
공격측 주소와 로그인 시도 ID 확인해 보시구요
 
wansoo
  0 추천 | 5년 이상 전
fin wait 는 연결을 끊는  fin 신호를 보낸 후에 상대편에서 연결 종료 확인하는 fin 신호가 올때까지 기다리는 시간이라 생각되는데요.
일정 시간 기다려도 fin 신호가 오지 않으면 자동으로 연결을 끊게 되지 싶은데...
끊임없이 연결했다가 연결을 끊으면서 확인  fin 신호를 안 보내는 악성 코드가 작동되고 있는건 아닐까요..?
추정입니다~