日志訪問

IIS日志包含了哪些信息，如何來進(jìn)行分析呢。

用戶每打開一次網(wǎng)頁，iis都會(huì)記錄用戶IP、訪問的網(wǎng)頁地址、訪問時(shí)間、訪問狀態(tài)等信息，這些信息保存在iis日志文件里，方便網(wǎng)站管理員掌握網(wǎng)頁被訪問情況和iis服務(wù)器運(yùn)行情況。如果網(wǎng)頁被惡意訪問（如注入數(shù)據(jù)庫），日志中會(huì)有相應(yīng)的記錄，并且能看到注入者用什么代碼注入，便于分析網(wǎng)站漏洞。

IIS日志提供了最有價(jià)值的信息，這些信息有哪些呢？看看這個(gè)截圖吧：

這里面記錄了1.請(qǐng)求發(fā)生在什么時(shí)刻，
2.哪個(gè)客戶端IP訪問了服務(wù)端IP的哪個(gè)端口，
3.客戶端工具是什么類型，什么版本，
4.請(qǐng)求的URL以及查詢字符串參數(shù)是什么，
5.請(qǐng)求的方式是GET還是POST，
6.請(qǐng)求的處理結(jié)果是什么樣的：HTTP狀態(tài)碼，以及操作系統(tǒng)底層的狀態(tài)碼，
7.請(qǐng)求過程中，客戶端上傳了多少數(shù)據(jù)，服務(wù)端發(fā)送了多少數(shù)據(jù)，
8.請(qǐng)求總共占用服務(wù)器多長時(shí)間、等等。

這些信息在分析時(shí)有什么用途，我后面再說。先對(duì)它有個(gè)印象就可以了。

IIS日志的配置

默認(rèn)情況下，IIS會(huì)產(chǎn)生日志文件，不過，還是有些參數(shù)值得我們關(guān)注。IIS的設(shè)置界面如下（本文以IIS8的界面為例）。

在IIS管理器中，選擇某個(gè)網(wǎng)站，雙擊日志圖標(biāo)，請(qǐng)參考下圖：

選擇“開始”菜單→管理工具→Internet信息服務(wù)管理器，打開iis服務(wù)器窗口，依次展開選中要查看日志的網(wǎng)站，WindowsServer2008R2系統(tǒng)雙擊“日志”圖標(biāo)。

此時(shí)（主要部分）界面如下：

在截圖中，日志的創(chuàng)建方式是每天產(chǎn)生一個(gè)新文件，按日期來生成文件名（這是默認(rèn)值）。說明：IIS使用UTC時(shí)間，所以我勾選了最下面的復(fù)選框，告訴IIS用本地時(shí)間來生成文件名。

點(diǎn)擊選擇字段按鈕，將出現(xiàn)以下對(duì)話框：

注意：發(fā)送的字段數(shù)和接收的字節(jié)數(shù)默認(rèn)是沒有選擇的。建議勾選它們。
至于其它字段，你可以根據(jù)需要來決定是否要勾選它們。

在主日志目錄下，發(fā)現(xiàn)子目錄名字比較有規(guī)律：W3SVC+數(shù)字，聯(lián)想到iis的站點(diǎn)配置文件中，每個(gè)站點(diǎn)會(huì)被分配一個(gè)ID，后邊的數(shù)字應(yīng)該是對(duì)應(yīng)站點(diǎn)的ID。根據(jù)猜想，打開目錄中的日志文件查看，得到印證。

Tags：日志訪問，云服務(wù)器IIS7服務(wù)器日志分析方法

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。