如何檢視和分析IIS日誌

日誌的在iis中是很重要的，但是很多人卻忽略了，在這裡說說，日誌格式建議使用w3c擴充日誌檔案格式，這也是iis 5.0預設的格式，可以指定每天記錄客戶ip位址、使用者名稱、伺服器端口、方法、uri資源、uri查詢、協議狀態、使用者**，每天要審查日誌。如圖1所示。

iis 5.0的www日誌檔案預設位置為

%systemroot%/system32/logfiles/w3svc1/，對於絕大多數系統而言（如果安裝系統時定義了系統存放目錄則根據實際情況修改）則是c:/winnt/system32/logfiles/w3svcl/，預設每天乙個日誌。建議不要使用預設的目錄，更換乙個記錄日誌的路徑，同時設定日誌訪問許可權，只允許管理員和system為完全控制的許可權，如圖2所示。

日誌檔案的名稱格式是：

ex+年份的末兩位數字+月份+日期，如2023年8月10日的www日誌檔案是ex020810.log。iis的日誌檔案都是文字檔案，可以使用任何編輯器開啟，例如記事本程式。下面列舉說明日誌檔案的部分內容。每個日誌檔案都有如下的頭4行：

上面各行分別清楚地記下了遠端客戶端的ip位址、連線時間、埠、請求動作、返回結果（用數字表示，如頁面不存在則以404返回）、所使用的瀏覽器型別等資訊。

iis的ftp日誌檔案預設位置為%systemroot%/system32/logfiles/msftpsvc1/，對於絕大多數系統而言（如果安裝系統時定義了系統存放目錄則根據實際情況修改）則是c:/winnt/system32/logfiles/ msftpsvc1/，和iis的www日誌一樣，也是預設每天乙個日誌。日誌檔案的名稱格式是：ex+年份的末兩位數字+月份+日期，如2023年8月10日的www日誌檔案是ex020810.log。它也是文字檔案，同樣可以使用任何編輯器開啟，例如記事本程式。和iis的www日誌相比，iis的ftp日誌檔案要豐富得多。下面列舉日誌檔案的部分內容。

有經驗的使用者可以通過這段ftp日誌檔案的內容看出，來自ip位址210.12.195.2的遠端客戶從2023年7月24日3：15開始試圖登入此伺服器，先後換了4次使用者名稱和口令才成功，最終以administrator的賬戶成功登入。這時候就應該提高警惕，因為administrator賬戶極有可能洩密了，為了安全考慮，應該給此賬戶更換密碼或者重新命名此賬戶。

如何辨別伺服器是否有人曾經利用過unicode漏洞入侵過呢？可以在日誌裡看到類似如下的記錄：

如果入侵者技術比較高明，會刪除iis日誌檔案以抹去痕跡，這時可以到事件檢視器看來自w3svc的警告資訊，往往能找到一些線索。

如何檢視和分析IIS日誌

如何檢視和分析IIS日誌

如何檢視和分析IIS日誌

如何檢視IIS的日誌

相關推薦