默认位置:%systemroot%\system32\logfiles\ 可自由设置。
默认日志格式:ex+年份的末两位数字+月份+日期
文件后缀:.log
如2010年7月30日的日志生成文件是ex100730.log
IIS日志是每个服务器管理者都必须学会查看的,服务器的一些状况和访问IP的来源都会记录在IIS日志中,所以IIS日志对每个服务器管理者非常的重要,seoer也不例外,这点同时也可方便网站管理人员查看网站的运营情况。
第一步,怎样在vps里面找到iis文件
进入vps的管理之后,打开"Internet 信息服务(IIS)管理器"
进入管理以后打开vps(本地计算机)
双击vps(本地计算机),在网站栏目那里右键单击选择属性。
在弹出的窗口里面,网站栏目点击属性
上面的日志文件目录即是iis的文件存放位置了,在C:\WINDOWS\system32\LogFiles\W3SVC20110218打开文件夹。
这些文件就是网站的iis日志了,我们随机打开ex121129.log这个文件,打开之后是一个记事本文件,这个文件里面就是该网站的iis访问日志了,我们第一步做到了获取iis网站访问的日志了,接下来第二步。
第二步,用excel表格分析网站的iis日志
先新建一个excel表格,把刚才的ex121129.log文件里的文件粘贴到新建的excel表格里面。
复制之后,选定第一列
在上面的工具栏里选择数据→分列
选择分隔符号,点击下一步
在该步骤的分隔符号选定空格,点击下一步,完成就可以了。
Internet 信息服务器 (IIS) 版本 4.0 和 Internet Information Services 版本 5.0 及更高版本的支持以下日志文件格式:
Microsoft IIS 日志格式
国家超级计算应用程序 (NCSA) 的中心通用日志文件格式
万维网联合会 (W3C) 扩展日志文件格式
ODBC 日志记录
当 Internet Information Services 创建日志文件时,使用该命名语法。
下表列出日志文件间隔并为每个文件名可用于每个日志文件格式,使用以下语法:
nn = 顺序的数字yy = 年mm = 每月ww = 周dd = 日hh = 小时 (24 小时格式)
Microsoft IIS 日志格式
文件大小 | inetsv nn.log |
每小时执行一次 | 在 yymmddhh.log |
每日 | 在 yymmdd.log |
每周 | 在 yymmww.log |
每月 | 在 yymm.log |
NCSA 公用日志文件格式
文件大小 | ncsa nn.log |
每小时执行一次 | nc yymmddhh.log |
每日 | nc yymmdd.log |
每周 | nc yymmww.log |
每月 | nc yymm.log |
W3C 扩展日志文件格式
文件大小 | 扩展 nn.log |
每小时执行一次 | (例如 yymmddhh.log |
每日 | (例如 yymmdd.log |
每周 | (例如 yymmww.log |
每月 | (例如 yymm.log |
有关格式设置以及所需的步骤,对于 ODBC 日志记录的信息,请参阅 IIS 帮助中的"关于记录活动"主题。
IIS 6.0 还支持集中的二进制日志记录。集中的二进制日志记录是多个网站向单个日志文件写入不带格式的二进制日志数据的过程。当启用的所有网站在您的 Web 服务器上运行 IIS 将日志数据都写入单个日志文件。
下面的文件格式用于集中的二进制日志记录:
每小时执行一次 | 原始 yymmddhh.ibl |
每日 | 原始 yymmdd.ibl |
每周 | 原始 yymmww.ibl |
每月 | 原始 yymm.ibl |
找到日志打开,发现日志的前几行如下
#Software: Microsoft Internet Information Services 5.1 //iis版本
#Version: 1.0 //版本
#Date: 2010-07-30 00:53:58 //创建时间
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) //日志格式
下面的日志我在本地上测试的,扩展属性全部选中。
2010-07-30 01:06:43 192.168.0.102 - W3SVC1 MGL 192.168.0.102 80 GET /css/rss.xslt - 304 0 140 358 0 HTTP/1.1 192.168.0.102 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM -
下面对日志格式进行详细解答。
Fields: date 2010-07-30 \\爬行日期
time 01:06:43 \\时间
s-sitename W3SVC1 \\服务器名称
s-computername MGL \\ 网站名称
s-ip 192.168.0.102 \\网站IP
cs-method GET \\获取方法
cs-uri-stem /css/rss.xslt \\文件的URL
cs-uri-query - \\?后面的参数
s-port 80 \\服务器端口
cs-username - \\用户名
c-ip 192.168.0.102 \访问者(蜘蛛)ip
cs-version HTTP/1.1 \\协议版本
cs(User-Agent) Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE)
\\用户代理,即用户所用的浏览器(这个最重要)
cs(Cookie) ASPSESSIONIDACRRDABA=IDDHCBBBHBMBODAGCIDKAGLM \\发送或接收的 Cookie 内容(如果有)
cs(Referer) - \\选择该选项可以记录用户访问的前一个站点。此站点提供与当前站点的链接。
cs-host 192.168.0.102 \\主机头的内容。我本地访问的是IP,这个应该是网站域名。
sc-status 304 \\协议状态(200是正常的 404 是找不到文件,304未改变。更多请查看IIS返回日志详解)
sc-substatus 0 \\协议子状态
sc-win32-status 0 \\win32状态
sc-bytes 140 \\发送的字节数
cs-bytes 358 \\接受的字节数
time-taken 0 \\所用时间
200 0 0 4600 316 140返回200正常,4600发送的字节数,316接受的字节数 140所用时间。这个时间应该是毫秒级别的。
1xx(临时响应)表示临时响应并需要请求者继续执行操作的状态代码。
代码 说明
100 (继续) 请求者应当继续提出请求。 服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。
101 (切换协议) 请求者已要求服务器切换协议,服务器已确认并准备切换。
2xx (成功)表示成功处理了请求的状态代码。
代码 说明
200 (成功) 服务器已成功处理了请求。 通常,这表示服务器提供了请求的网页。
201 (已创建) 请求成功并且服务器创建了新的资源。
202 (已接受) 服务器已接受请求,但尚未处理。
203 (非授权信息) 服务器已成功处理了请求,但返回的信息可能来自另一来源。
204 (无内容) 服务器成功处理了请求,但没有返回任何内容。
205 (重置内容) 服务器成功处理了请求,但没有返回任何内容。
206 (部分内容) 服务器成功处理了部分 GET 请求。
3xx (重定向) 表示要完成请求,需要进一步操作。 通常,这些状态代码用来重定向。
代码 说明
300 (多种选择) 针对请求,服务器可执行多种操作。 服务器可根据请求者 (user agent) 选择一项操作,或提供操作列表供请求者选择。
301 (永久移动) 请求的网页已永久移动到新位置。 服务器返回此响应(对 GET 或 HEAD 请求的响应)时,会自动将请求者转到新位置。
302 (临时移动) 服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来进行以后的请求。
303 (查看其他位置) 请求者应当对不同的位置使用单独的 GET 请求来检索响应时,服务器返回此代码。
304 (未修改) 自从上次请求后,请求的网页未修改过。 服务器返回此响应时,不会返回网页内容。
305 (使用代理) 请求者只能使用代理访问请求的网页。 如果服务器返回此响应,还表示请求者应使用代理。
307 (临时重定向) 服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来进行以后的请求。
4xx(请求错误) 这些状态代码表示请求可能出错,妨碍了服务器的处理。
代码 说明 400 (错误请求) 服务器不理解请求的语法。
401 (未授权) 请求要求身份验证。 对于需要登录的网页,服务器可能返回此响应。
403 (禁止) 服务器拒绝请求。404 (未找到) 服务器找不到请求的网页。
405 (方法禁用) 禁用请求中指定的方法。
406 (不接受) 无法使用请求的内容特性响应请求的网页。
407 (需要代理授权) 此状态代码与 401(未授权)类似,但指定请求者应当授权使用代理。408 (请求超时) 服务器等候请求时发生超时。
409 (冲突) 服务器在完成请求时发生冲突。 服务器必须在响应中包含有关冲突的信息。
410 (已删除) 如果请求的资源已永久删除,服务器就会返回此响应。
411 (需要有效长度) 服务器不接受不含有效内容长度标头字段的请求。
412 (未满足前提条件) 服务器未满足请求者在请求中设置的其中一个前提条件。
413 (请求实体过大) 服务器无法处理请求,因为请求实体过大,超出服务器的处理能力。
414 (请求的 URI 过长) 请求的 URI(通常为网址)过长,服务器无法处理。
415 (不支持的媒体类型) 请求的格式不受请求页面的支持。
416 (请求范围不符合要求) 如果页面无法提供请求的范围,则服务器会返回此状态代码。
417 (未满足期望值) 服务器未满足"期望"请求标头字段的要求。
5xx(服务器错误)这些状态代码表示服务器在尝试处理请求时发生内部错误。 这些错误可能是服务器本身的错误,而不是请求出错。
代码 说明
500 (服务器内部错误) 服务器遇到错误,无法完成请求。
501 (尚未实施) 服务器不具备完成请求的功能。 例如,服务器无法识别请求方法时可能会返回此代码。
502 (错误网关) 服务器作为网关或代理,从上游服务器收到无效响应。
503 (服务不可用) 服务器目前无法使用(由于超载或停机维护)。 通常,这只是暂时状态。
504 (网关超时) 服务器作为网关或代理,但是没有及时从上游服务器收到请求。
505 (HTTP 版本不受支持) 服务器不支持请求中所用的 HTTP 协议版本。
日志的在IIS中是很重要的,但是很多人却忽略了,在这里说说,日志格式建议使用W3C扩充日志文件格式,这也是IIS 5.0默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理,每天要审查日志。如图1所示。
IIS 5.0的WWW日志文件默认位置为%systemroot%\system32\logfiles\w3svc1\,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:\winnt\system32\logfiles\w3svcl\,默认每天一个日志。建议不要使用默认的目录,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和SYSTEM为完全控制的权限,如图2所示。
日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件,可以使用任何编辑器打开,例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行:
上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果(用数字表示,如页面不存在则以404返回)、所使用的浏览器类型等信息。
IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\,对于绝大多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是C:\winnt\system32\logfiles\ MSFTPSVC1\,和IIS的WWW日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器打开,例如记事本程序。和IIS的WWW日志相比,IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。
有经验的用户可以通过这段FTP日志文件的内容看出,来自IP地址210.12.195.2的远程客户从2002年7月24日3:15开始试图登录此服务器,先后换了4次用户名和口令才成功,最终以administrator的账户成功登录。这时候就应该提高警惕,因为administrator账户极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。
如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢?可以在日志里看到类似如下的记录:
如果入侵者技术比较高明,会删除IIS日志文件以抹去痕迹,这时可以到事件查看器看来自W3SVC的警告信息,往往能找到一些线索。
联系客服
