windows系统IIS日志分析.pdfVIP

windows系系统统IIS⽇⽇志志分分析析

⼀、IIS⽇志介绍：

1.IIS简介：

IIS全称InternetInformationServices，是由微软公司提供的基于运⾏MicrosoftWindwos的互联基本服务，IIS是⼀种Web（页）服

务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别⽤于页浏览、⽂

件传输、新闻服务和邮件发送等⽅⾯，它使得在络（包括互联和局域）上发布信息成了⼀件很容易的事。

IIS可设置的内容包括：虚拟⽬录及访问权限、默认⽂件名称、⽬录浏览。

2.IIS⽇志的路径：

Server2003，路径为：C:WINDOWSsystem32LogFiles；

Server2008/R2，路径为：C:inetpublogsLogFiles。

Win10系统默认的IIS服务是关闭的，如果需要开启服务，参考：

3.W3C扩展⽇志⽂件格式：

转⾃博客：

下⾯是⼀段常见的IIS⽣产的W3C扩展WEB⽇志：

2011-09-0116:02:22GET/Enterprise/detail.asp3http://www./searchout.asp202177353694656

datetimes-ipcs-methodcs-uri-stemcs-uri-querys-port（#7）cs-usernamec-ipcs(User-Agent)cs(Cookie)cs(Referer)cs-

hostsc-statussc-substatussc-win32-statustime-taken

这个⽇志可以解读为：IP是3，来⾃http://www./searchout.asp的访客，在2011-09-0116:02:22，访问

(GET)了主机的/Enterprise/detail.asp，访问成功，得到17735字节数据。

⽬前常见的WEB⽇志格式主要由两类，⼀类是Apache的NCSA⽇志格式，另⼀类是IIS的W3C⽇志格式。NCSA格式⼜分为NCSA

普通⽇志格式(CLF)和NCSA扩展⽇志格式(ECLF)两类，⽬前最常⽤的是NCSA扩展⽇志格式(ECLF)及

基于⾃定义类型的Apache⽇志格式;⽽W3C扩展⽇志格式(ExLF)具备了更为丰富的输出信息，主要是微软IIS(InternetInformation

Services)中应⽤。

⽇期：date动作发⽣时的⽇期。

时间：time动作发⽣时的时间(默认为UTC标准)。

客户端IP地址：c-ip访问服务器的客户端IP地址。

⽤户名：cs-username通过⾝份验证的访问服务器的⽤户名。不包括匿名⽤户(⽤‘-’表⽰)。

服务名：s-sitename客户所访问的Internet服务名以及实例号。

服务器名：s-computername产⽣⽇志条⽬的服务器的名字。

服务器IP地址：s-ip产⽣⽇志条⽬的服务器的IP地址。

服务器端⼝：s-port服务端提供服务的传输层端⼝。

⽅法：cs-method客户端执⾏的⾏为(主要是GET与POST⾏为)。

URIStem：cs-uri-stem被访问的资源，如Default.asp等。

URIQuery：cs-uri-query客户端提交的参数(包括GET与POST⾏为)。

协议状态：sc-status⽤HTTP或者FTP术语所描述的、⾏为执⾏后的返回状态。

Win32状态：sc-win32-status⽤MicrosoftWindows的术语所描述的动作状态。

发送字节数：sc-bytes服务端发送给客户端的字节数。

接受字节数：cs-bytes服务端从客户端接收到的字节数。

花费时间：time-taken执⾏此次⾏为所消耗的时间，以毫秒为单位。

协议版本：cs-version客户端所⽤的协议(HTTP、FTP)版本。对HTTP协议来说是HTTP1.0或者HTTP1.1。

主机：cs-host客户端的HTTP报头(hostheader)信息。

⽤户代理：cs(User-Agent)客户端所⽤的浏览