w3c 擴充套件日誌記錄定義
字首含義
s-伺服器操作。
c-客戶端操作。
cs-客戶端到伺服器的操作。
sc-伺服器到客戶端的操作。
s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version
#這是日誌頭部的資訊,和這些s- c- cs= sc-是對應的
字段格式
描述日期
date
活動發生的日期。
時間time
活動發生的時間。
客戶端 ip 位址
c-ip
訪問伺服器的客戶端 ip 位址。
使用者名稱cs-username
訪問伺服器的已驗證使用者的名稱。這不包括用連字元 (-) 表示的匿名使用者。
服務名s-sitename
客戶端所訪問的該站點的 internet 服務和例項的號碼。
伺服器名
s-computername
生成日誌項的伺服器名稱。
伺服器 ip 位址
s-ip
生成日誌項的伺服器的 ip 位址。
伺服器端口
s-port
客戶端連線到的埠號。
方法cs-method
客戶端試圖執行的操作(例如get方法)。
uri 資源
cs-uri-stem
訪問的資源;例如 default.htm。
uri 查詢
cs-uri-query
客戶端正在嘗試執行的查詢(如果有)。
協議狀態
sc-status
以 http 或 ftp 術語表示的操作的狀態。
win32® 狀態
sc-win32-status
用 windows® 使用的術語表示的操作的狀態。
傳送的位元組數
sc-bytes
伺服器傳送的位元組數。
接收的位元組數
cs-bytes
伺服器接收的位元組數。
所用時間
time-taken
操作花費的時間長短(亳秒)。
協議版本
cs-version
客戶端使用的協議(http,ftp)版本。對於 http,這將是 http 1.0 或 http 1.1。
主機cs-host
顯示主機頭的內容。
使用者**
cs(user-agent)
在客戶端使用的瀏覽器。
cookie
cs(cookie)
傳送或接收的 cookie 的內容(如果有)。
引用站點
cs(referer)
使用者訪問的前乙個站點。此站點提供到當前站點的鏈結。
iis 日誌定義
字段描述
客戶端 ip 位址
提出請求的客戶機的 ip 位址。
使用者名稱訪問伺服器的已驗證使用者的名稱。這不包括用連字元 (-) 表示的匿名使用者。
日期活動發生的日期。
時間活動發生的時間。
服務和例項
**例項顯示為 w3svc#;ftp 站點例項顯示為 msftpsvc#,其中 # 是站點的例項。
計算機名
伺服器的網路基本輸入/輸出系統 (netbios) 名稱。
伺服器的 ip 位址
為請求提供服務的伺服器的 ip 位址。
所用時間
操作花費的時間長短(亳秒)。
傳送位元組數
從客戶端向伺服器傳送的位元組數。
接收位元組
客戶端從伺服器接收到的位元組數。
服務狀態碼
http 或 ftp 狀態碼。
windows 狀態碼
用 windows 使用的術語表示的操作的狀態。
請求型別
伺服器收到的請求型別(例如get和pass)。
操作目標
操作目標 url。
引數傳遞給指令碼的引數。
IIS日誌 引數
iis6.0日誌檔案 c windows system32 logfiles w3svc1 舉例 software microsoft internet information services 6.0 2007 05 18 07 17 24 w3svc739 60.28.240.139 get b...
IIS日誌自動清理
iis在執行的過程中日誌會不停地增長,若iis的 被頻繁的呼叫或不當的呼叫,則會產生很多日誌。對於系統盤或者磁碟空間不夠的伺服器來說。iis日誌自動清 理則非常有必要。指令碼如下 1,檔名 rmiislog.js 指令碼內容 function dellogfile beforedays dellog...
IIS日誌分析練習
找到乙個被掛 的站點取日誌進行分析。分析過程 用d盾掃瞄整個站點的存在的可疑檔案,然後再日誌中對可疑檔案進行回溯。kindeditor檔案目錄下的後門第一次被訪問到是 202.131.82.144 最終這個 ip發現之前的操作時在 get請求其他後門檔案,響應碼均為 404 只有 kindedito...