IIS Web服务器

支持的技术

确认TCell代理支持您的IIS Web服务器配置,如下所示:

版本 操作系统 记忆
7.0+ Windows Server 2008 R2或更高版本 32位\64位

多应用支持

此代理支持多个应用程序配置。

某些TCell功能不可用

IIS Web服务器上不可用OS命令,本地文件,帐户接管和软件包和vulns功能。

先决条件

在开始之前,确认您有:

  • 建立一个tCell帐户
  • 创建了一个tCell应用程序(管理>应用程序)

安装

获取配置文件

  1. 单击TCell控制台顶部导航栏中的“管理员”
  2. 创建新的API密钥
  3. 单击“下载代理”
  4. 选择“Web服务器代理”选项卡
  5. 选择“IIS”
  6. 下载msi安装程序
  7. 单击“下载配置文件”下载代理的配置文件(该文件以应用程序和密钥信息为前缀)

手动安装代理

要手动安装代理,请执行以下操作:

  1. 运行msi安装程序并按照说明操作。这将安装代理并将所需文件放入指定的目录中。默认情况下,目录为C:\Program Files\Rapid7,Inc\tCell IIS代理。
  2. 将“tcell_agent.config”文件放在web应用程序的根目录中。
  3. 如果在同一IIS上运行多个应用程序,则只需添加一个单独的tcell_agent.config(配置)文件,并将其放置在每个应用程序的根目录中。您需要在tCell控制台中为每个应用程序创建单独的应用程序,并使用每个应用程序的正确应用程序id和api密钥修改配置文件。
  4. 以管理员身份打开命令提示符并运行命令“iisreset”以重新启动IIS。
  5. 通过应用程序运行一些HTTP/S请求来初始化代理,因为如果没有HTTP/S请求,代理将无法完全初始化和运行。tCell现在保护您的应用程序。

通过命令行安装代理

基于命令的基于行的安装有助于某些使用情况,例如CI / CD部署。要使用命令行进行安装,请按照下列步骤操作:

  1. 启动Windows命令行
  2. 将目录更改为安装程序的位置
  3. 运行以下命令,替换 使用IIS代理版本:
          

           命令行示例

            
           

          

           

            

             1

            msiexec/itcell iisagent-.msi/quiet

注意:版本号通常有4位数,例如1.1.2.0

例如,对于1.1.2.0版,一个人会运行:

          

           1.1.2.0安装示例

            
           

          

           

            

             1

            msiexec/i tcell-iisagent-1.1.2.0.msi/quiet

如果未安装代理,通常会发生这种情况,因为:

  • msiexec未从安装的目录运行
  • 版本号不正确

防止IIS 7.5或更高版本的IIS回收

如果您正在运行IIS 7.5或更高版本,IIS将回收应用程序,如果它是空闲的20分钟或更长时间。发生这种情况时,代理将卸载,停止运行,并将在TCell控制台中显示为脱机。如果请求进入,则代理将重新开始。如果您不希望IIS在空闲时回收应用程序,则可以更改应用程序的应用程序开始模式和应用程序池的空闲时间。请注意,IIS仍将根据其常规回收计划回收。默认情况下,这设置为1740分钟或29小时。要更改开始模式和空闲超时:

  1. 通过右键单击应用程序池并选择高级设置,转到应用程序池的高级设置
  2. 将启动模式设置为alwarateRunning,在“常规”下找到
  3. 将空闲超时(以分钟为单位)设置为0。这可以在流程模型下找到。

卸载IIS代理

您可以以其中一种方式卸载代理:

  • 人工
  • 通过命令行

手动卸载代理

  1. 打开“程序和功能/应用程序和功能”
  2. 搜索tCell
  3. 右键单击tCell IIS代理
  4. 选择卸载如果代理正在使用,则可能需要重新启动。

通过命令行卸载IIS代理

  1. 启动Windows命令行
  2. 转到TCELL安装程序所在的目录
  3. 输入以下内容,取代 使用IIS代理版本:
          

           命令行详细信息

            
           

          

           

            

             1

            msiexec/x tcell iisagent-.msi/quiet

局限性

IIS代理不支持登录事件和OS命令功能。

故障排除

IIS Web服务器的启动错误

要启用启动错误日志记录,请将Tcell_Agent_startup_error_logging环境变量设置为true或指定有效路径。此标志将在应用程序的根文件夹中创建一个名为tcell_critical_error.log的文件,或者在启动时出现错误指定的路径。

当tcell_critical_error.log包含许多应用程序和错误时

这将为所有应用程序写入此文件的所有启动错误,因此如果有大量的应用程序和大量错误,则可能必须在整个文件中扫描以查找特定于应用程序的错误消息。

记录

从IIS代理v2.0.0开始,日志和缓存文件的默认位置为c:\ProgramData\Rapid7,inc\tCell IIS代理[IIS应用程序id]

您可以自定义日志级别tcell_agent.config.通过添加块(如以下内容)的文件:

          

           代理配置代码段

            
           

          

           

            

             1

            “日志记录\u选项”{
           

           

            

             2

            “启用”符合事实的
           

           

            

             3.

            “级别”“调试”
           

           

            

             4.

            }

IIS代理调试日志

如果日志目录中没有显示日志,则可以创建目录“c:\ tcell”。这是IIS代理调试日志的默认目录。

  1. 将运行IIS应用程序的用户作为完全控制添加到目录中。
  2. 重新启动IIS。
  3. 应创建一个日志文件,其中包含有关代理启动的信息。

有效日志级别为:

  • 错误
  • 警告
  • 信息(默认)
  • 调试
  • 查出

前面列表指示级别之间的优先级,从上到下。启用日志级别时,还会启用更高的日志级别。例如,如果启用Warn,则还会启用错误。

当日志文件已满时,日志记录将在新日志文件中继续。看见原木轧制了解更多信息。